{"tokens": ["The", "sample", "of", "LIGHTWORK", "we", "obtained", "includes", "eight", "hardcoded", "IEC-104", "information", "object", "addresses", "(", "IOA", ")", ",", "which", "typically", "correlate", "with", "input", "or", "output", "data", "elements", "on", "a", "device", "and", "may", "correspond", "to", "power", "line", "switches", "or", "circuit", "breakers", "in", "an", "RTU", "or", "relay", "configuration", "."], "tags": ["O", "O", "O", "B-ATTACK_TOOL", "O", "O", "O", "B-OBSERVED_DATA", "I-OBSERVED_DATA", "I-OBSERVED_DATA", "I-OBSERVED_DATA", "I-OBSERVED_DATA", "I-OBSERVED_DATA", "I-OBSERVED_DATA", "I-OBSERVED_DATA", "I-OBSERVED_DATA", "I-OBSERVED_DATA", "I-OBSERVED_DATA", "I-OBSERVED_DATA", "I-OBSERVED_DATA", "I-OBSERVED_DATA", "I-OBSERVED_DATA", "I-OBSERVED_DATA", "I-OBSERVED_DATA", "I-OBSERVED_DATA", "I-OBSERVED_DATA", "I-OBSERVED_DATA", "I-OBSERVED_DATA", "I-OBSERVED_DATA", "I-OBSERVED_DATA", "I-OBSERVED_DATA", "I-OBSERVED_DATA", "I-OBSERVED_DATA", "I-OBSERVED_DATA", "I-OBSERVED_DATA", "I-OBSERVED_DATA", "I-OBSERVED_DATA", "I-OBSERVED_DATA", "I-OBSERVED_DATA", "I-OBSERVED_DATA", "I-OBSERVED_DATA", "I-OBSERVED_DATA", "I-OBSERVED_DATA", "I-OBSERVED_DATA", "I-OBSERVED_DATA", "O"]}
{"tokens": ["Persistent", "Internal", "Server", "Requests", "An", "Advanced", "Persistent", "Threat", "APT", "may", "occur", "internally", "following", "a", "successful", "delivery", "of", "a", "malicious", "payload", "."], "tags": ["B-INDICATOR", "I-INDICATOR", "I-INDICATOR", "I-INDICATOR", "O", "B-INTRUSION_SET", "I-INTRUSION_SET", "I-INTRUSION_SET", "I-INTRUSION_SET", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-MALWARE", "I-MALWARE", "O"]}
{"tokens": ["Most", "recently", ",", "the", "Threat", "Hunter", "Team", "in", "Symantec", ",", "part", "of", "Broadcom", ",", "discovered", "Budworm", "using", "an", "updated", "version", "of", "one", "of", "its", "key", "tools", "to", "target", "a", "Middle", "Eastern", "telecommunications", "organization", "and", "an", "Asian", "government", "."], "tags": ["O", "O", "O", "O", "B-GENERAL_IDENTITY", "I-GENERAL_IDENTITY", "I-GENERAL_IDENTITY", "O", "B-GENERAL_IDENTITY", "O", "O", "O", "B-GENERAL_IDENTITY", "O", "O", "B-THREAT_ACTOR", "O", "O", "O", "O", "O", "O", "O", "O", "B-ATTACK_TOOL", "I-ATTACK_TOOL", "O", "O", "O", "B-VICTIM_IDENTITY", "I-VICTIM_IDENTITY", "I-VICTIM_IDENTITY", "I-VICTIM_IDENTITY", "O", "O", "B-VICTIM_IDENTITY", "I-VICTIM_IDENTITY", "O"]}
{"tokens": ["Further", "analyses", "of", "these", "similarities", "are", "available", "via", "Mandiant", "Advantage", "."], "tags": ["O", "O", "O", "O", "O", "O", "O", "O", "B-GENERAL_IDENTITY", "I-GENERAL_IDENTITY", "O"]}
{"tokens": ["Mandiant", "reviewed", "the", "Telegram", "channels", "of", "KillNet", "and", "its", "affiliates", "and", "captured", "counts", "of", "claimed", "attacks", "that", "included", "checkhost", "links", "to", "corroborate", "actor", "statements", "."], "tags": ["B-GENERAL_IDENTITY", "O", "O", "B-INFRASTRUCTURE", "I-INFRASTRUCTURE", "O", "B-CAMPAIGN", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O"]}
{"tokens": ["We", "observed", "limited", "instances", "of", "Russia", "-", "affiliated", "domains", "being", "targeted", "."], "tags": ["O", "O", "O", "O", "O", "B-INTRUSION_SET", "I-INTRUSION_SET", "I-INTRUSION_SET", "I-INTRUSION_SET", "O", "O", "O"]}
{"tokens": ["The", "US", "Justice", "Department", "thinks", "he", "'s", "been", "deploying", "LockBit", "ransomware", "on", "victim", "networks", "both", "in", "the", "States", "and", "overseas", ",", "with", "the", "investigation", "having", "run", "from", "August", "2020", "through", "March", "2023", "."], "tags": ["O", "B-GENERAL_IDENTITY", "I-GENERAL_IDENTITY", "I-GENERAL_IDENTITY", "O", "O", "O", "O", "O", "B-MALWARE", "I-MALWARE", "O", "O", "O", "O", "O", "O", "B-LOCATION", "O", "B-LOCATION", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O"]}
{"tokens": ["Seven", "of", "the", "vulnerabilities", "included", "in", "today", "\u2019s", "Vulnerability", "Roundup", "have", "a", "CVSS", "severity", "score", "of", "9.8", "out", "of", "a", "possible", "10", "."], "tags": ["O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-OBSERVED_DATA", "I-OBSERVED_DATA", "I-OBSERVED_DATA", "I-OBSERVED_DATA", "I-OBSERVED_DATA", "I-OBSERVED_DATA", "I-OBSERVED_DATA", "I-OBSERVED_DATA", "I-OBSERVED_DATA", "I-OBSERVED_DATA", "O"]}
{"tokens": ["To", "identify", "attempted", "exploitation", "requests", ",", "organizations", "will", "need", "to", "rely", "on", "web", "application", "firewalls", "(", "WAF", ")", "or", "other", "network", "appliances", "that", "record", "HTTP", "/", "S", "requests", "directed", "toward", "the", "NetScaler", "ADC", "or", "Gateway", "appliances", "."], "tags": ["O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-INFRASTRUCTURE", "I-INFRASTRUCTURE", "I-INFRASTRUCTURE", "I-INFRASTRUCTURE", "I-INFRASTRUCTURE", "I-INFRASTRUCTURE", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O"]}
{"tokens": ["The", "file", "c018c54eff8fd0b9be50b5d419d80f21", "(", "r3_iec104_control.py", ")", "imports", "the", "\"", "iec104_mssql_lib", "\"", "module", ",", "which", "is", "contained", "within", "the", "extracted", "contents", "as", "adfa40d44a58e1bc909abca444f7f616", "(", "iec104_mssql_lib.pyc", "):", "2b86adb6afdfa9216ef8ec2ff4fd2558", "(", "iec104_mssql_lib.py", ")", "implements", "PIEHOP", "\u2019s", "primary", "capabilities", "and", "contains", "many", "developer", "-", "supplied", "comments", "for", "the", "included", "code", "."], "tags": ["O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-OBSERVED_DATA", "I-OBSERVED_DATA", "I-OBSERVED_DATA", "I-OBSERVED_DATA", "I-OBSERVED_DATA", "I-OBSERVED_DATA", "I-OBSERVED_DATA", "I-OBSERVED_DATA", "I-OBSERVED_DATA", "I-OBSERVED_DATA", "O"]}
{"tokens": ["Both", "operations", "have", "suspected", "ties", "to", "financially", "motivated", "DPRK", "actors", ",", "suggesting", "that", "DPRK", "operators", "are", "implementing", "supply", "chain", "TTPs", "to", "target", "select", "entities", "as", "part", "of", "increased", "efforts", "to", "target", "cryptocurrency", "and", "fintech", "-", "related", "assets", "."], "tags": ["O", "O", "O", "O", "O", "B-ATTACK_MOTIVATION", "I-ATTACK_MOTIVATION", "I-ATTACK_MOTIVATION", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-ATTACK_RESOURCE_LEVEL", "I-ATTACK_RESOURCE_LEVEL", "O", "O", "O", "O", "O", "O", "O", "O", "O"]}
{"tokens": ["Another", "problem", "is", "that", "organizations", "are", "likely", "already", "affected", "by", "malware", "."], "tags": ["O", "O", "O", "O", "B-VICTIM_IDENTITY", "O", "O", "O", "O", "O", "B-MALWARE", "O"]}
{"tokens": ["The", "discovery", "of", "COSMICENERGY", "illustrates", "that", "the", "barriers", "to", "entry", "for", "developing", "offensive", "OT", "capabilities", "are", "lowering", "as", "actors", "leverage", "knowledge", "from", "prior", "attacks", "to", "develop", "new", "malware", "."], "tags": ["O", "O", "O", "B-MALWARE", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O"]}
{"tokens": ["The", "ransomware", "attempts", "to", "stop", "multiple", "services", "on", "the", "infected", "computer", "before", "it", "begins", "encrypting", "files", "."], "tags": ["O", "B-MALWARE", "B-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "O"]}
{"tokens": ["We", "observed", "the", "same", "efforts", "in", "our", "analysis", "of", "a", "series", "of", "documents", "detailing", "project", "requirements", "to", "enhance", "Russian", "offensive", "cyber", "capabilities", "."], "tags": ["O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-INTRUSION_SET", "I-INTRUSION_SET", "I-INTRUSION_SET", "I-INTRUSION_SET", "O"]}
{"tokens": ["COSMICENERGY", "lacks", "discovery", "capabilities", ",", "which", "implies", "that", "to", "successfully", "execute", "an", "attack", "the", "malware", "operator", "would", "need", "to", "perform", "some", "internal", "reconnaissance", "to", "obtain", "environment", "information", ",", "such", "as", "MSSQL", "server", "IP", "addresses", ",", "MSSQL", "credentials", ",", "and", "target", "IEC-104", "device", "IP", "addresses", "."], "tags": ["B-MALWARE", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-THREAT_ACTOR", "I-THREAT_ACTOR", "O", "O", "O", "B-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "O"]}
{"tokens": ["In", "each", "case", ",", "CrowdStrike", "reviewed", "the", "relevant", "logs", "and", "determined", "there", "was", "no", "evidence", "of", "exploitation", "of", "CVE-2022", "-", "41040", "for", "initial", "access", "."], "tags": ["O", "O", "O", "O", "B-GENERAL_IDENTITY", "O", "O", "O", "O", "O", "O", "B-MALWARE_ANALYSIS", "I-MALWARE_ANALYSIS", "I-MALWARE_ANALYSIS", "I-MALWARE_ANALYSIS", "I-MALWARE_ANALYSIS", "I-MALWARE_ANALYSIS", "I-MALWARE_ANALYSIS", "I-MALWARE_ANALYSIS", "I-MALWARE_ANALYSIS", "I-MALWARE_ANALYSIS", "I-MALWARE_ANALYSIS", "I-MALWARE_ANALYSIS", "I-MALWARE_ANALYSIS", "O"]}
{"tokens": ["Based", "on", "reporting", "from", "trusted", "partners", ",", "UNC4899", "likely", "corresponds", "to", "TraderTraitor", ",", "a", "financially", "motivated", "DPRK", "threat", "group", "that", "primarily", "targets", "blockchain", "-", "related", "companies", "."], "tags": ["O", "O", "O", "O", "O", "O", "O", "B-THREAT_ACTOR", "O", "O", "O", "B-THREAT_ACTOR", "O", "O", "B-ATTACK_MOTIVATION", "I-ATTACK_MOTIVATION", "B-INTRUSION_SET", "I-INTRUSION_SET", "I-INTRUSION_SET", "O", "O", "O", "B-VICTIM_IDENTITY", "I-VICTIM_IDENTITY", "I-VICTIM_IDENTITY", "I-VICTIM_IDENTITY", "O"]}
{"tokens": ["That", "piece", "explored", "how", "Biderman", "\u2014", "who", "is", "Jewish", "\u2014", "had", "become", "the", "target", "of", "concerted", "harassment", "campaigns", "by", "anti", "-", "Semitic", "and", "far", "-", "right", "groups", "online", "in", "the", "months", "leading", "up", "to", "the", "hack", "."], "tags": ["O", "O", "O", "O", "B-GENERAL_IDENTITY", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-GENERAL_IDENTITY", "I-GENERAL_IDENTITY", "I-GENERAL_IDENTITY", "I-GENERAL_IDENTITY", "I-GENERAL_IDENTITY", "I-GENERAL_IDENTITY", "I-GENERAL_IDENTITY", "I-GENERAL_IDENTITY", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O"]}
{"tokens": ["None", ":", "While", "OT", "-", "oriented", "malware", "families", "can", "be", "purpose", "built", "for", "a", "particular", "target", "environment", ",", "malware", "that", "takes", "advantage", "of", "insecure", "by", "design", "OT", "protocols", ",", "such", "as", "LIGHTWORK", "\u2019s", "abuse", "of", "the", "IEC-104", "protocol", ",", "can", "be", "modified", "and", "employed", "multiple", "times", "to", "target", "multiple", "victims", "."], "tags": ["O", "O", "O", "B-MALWARE", "I-MALWARE", "I-MALWARE", "I-MALWARE", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "O", "O", "O", "B-MALWARE", "I-MALWARE", "O", "O", "O", "B-VULNERABILITY", "I-VULNERABILITY", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O"]}
{"tokens": ["Several", "issues", "in", "Foxit", "PDF", "reader", "could", "lead", "to", "arbitrary", "code", "execution", "Foxit", "PDF", "Reader", "is", "one", "of", "the", "most", "popular", "PDF", "readers", "on", "the", "market", ",", "offering", "many", "similar", "features", "to", "Adobe", "Acrobat", "."], "tags": ["O", "O", "O", "B-GENERAL_TOOL", "I-GENERAL_TOOL", "I-GENERAL_TOOL", "O", "O", "O", "B-IMPACT", "I-IMPACT", "I-IMPACT", "B-GENERAL_TOOL", "I-GENERAL_TOOL", "I-GENERAL_TOOL", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-GENERAL_TOOL", "I-GENERAL_TOOL", "O"]}
{"tokens": ["We", "note", "separately", "that", "we", "have", "previously", "observed", "limited", "other", "instances", "of", "KillNet", "claiming", "Russian", "targets", ",", "such", "as", "high", "-", "profile", "Russian", "individuals", "opposed", "to", "the", "war", "."], "tags": ["O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-VICTIM_IDENTITY", "I-VICTIM_IDENTITY", "I-VICTIM_IDENTITY", "I-VICTIM_IDENTITY", "I-VICTIM_IDENTITY", "I-VICTIM_IDENTITY", "I-VICTIM_IDENTITY", "I-VICTIM_IDENTITY", "I-VICTIM_IDENTITY", "I-VICTIM_IDENTITY"]}
{"tokens": ["The", "possibilities", "are", "endless", ",", "but", "most", "hackers", "are", "out", "to", "make", "a", "profit", "."], "tags": ["O", "O", "O", "O", "O", "O", "O", "B-THREAT_ACTOR", "O", "O", "O", "B-ATTACK_MOTIVATION", "I-ATTACK_MOTIVATION", "I-ATTACK_MOTIVATION", "O"]}
{"tokens": ["Once", "proper", "prevention", "and", "detection", "plans", "are", "in", "place", ",", "organizations", "need", "to", "build", "an", "incident", "response", "plan", "."], "tags": ["O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "O"]}
{"tokens": ["The", "leaked", "tooling", "included", "a", "Python", "script", ",", ",", "that", "when", "executed", "led", "CrowdStrike", "researchers", "to", "replicate", "the", "logs", "generated", "in", "recent", "Play", "ransomware", "attacks", "."], "tags": ["O", "O", "O", "O", "O", "B-ATTACK_TOOL", "I-ATTACK_TOOL", "O", "O", "O", "O", "O", "O", "B-GENERAL_IDENTITY", "I-GENERAL_IDENTITY", "O", "O", "O", "B-INDICATOR", "O", "O", "O", "B-INTRUSION_SET", "I-INTRUSION_SET", "I-INTRUSION_SET", "O"]}
{"tokens": ["As", "we", "'ve", "discussed", "recently", ",", "there", "has", "been", "huge", "growth", "in", "the", "ransomware", "and", "extortion", "space", ",", "potentially", "linked", "to", "the", "plethora", "of", "leaked", "builders", "and", "source", "code", "related", "to", "various", "ransomware", "cartels", "."], "tags": ["O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "O", "O", "O", "O", "O", "O", "O", "O", "O"]}
{"tokens": ["The", "actors", "appear", "to", "target", "victims", "in", "Kuwait", ",", "as", "the", "ransom", "note", "demands", "payment", "in", "Kuwaiti", "dinar", "before", "translating", "that", "sum", "to", "its", "U.S.", "dollar", "equivalent", "in", "Bitcoin", "."], "tags": ["O", "O", "O", "O", "O", "O", "O", "B-VICTIM_IDENTITY", "O", "O", "O", "O", "O", "B-ATTACK_MOTIVATION", "I-ATTACK_MOTIVATION", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O"]}
{"tokens": ["When", "leveraging", "GOGETTER", ",", "Sandworm", "utilized", "a", "Systemd", "service", "unit", "to", "maintain", "persistence", "on", "systems", "."], "tags": ["O", "O", "B-ATTACK_TOOL", "O", "B-THREAT_ACTOR", "O", "O", "O", "O", "O", "B-ATTACK_MOTIVATION", "I-ATTACK_MOTIVATION", "I-ATTACK_MOTIVATION", "I-ATTACK_MOTIVATION", "I-ATTACK_MOTIVATION", "O"]}
{"tokens": ["There", "are", "also", "many", "examples", "of", "nation", "-", "state", "actors", "leveraging", "contractors", "to", "develop", "offensive", "capabilities", ",", "as", "shown", "most", "recently", "in", "contracts", "between", "Russia", "\u2019s", "Ministry", "of", "Defense", "and", "NTC", "Vulkan", "."], "tags": ["O", "O", "O", "O", "O", "O", "B-THREAT_ACTOR", "I-THREAT_ACTOR", "I-THREAT_ACTOR", "I-THREAT_ACTOR", "O", "B-THREAT_ACTOR", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-THREAT_ACTOR", "I-THREAT_ACTOR", "I-THREAT_ACTOR", "I-THREAT_ACTOR", "I-THREAT_ACTOR", "O", "B-THREAT_ACTOR", "I-THREAT_ACTOR", "O"]}
{"tokens": ["To", "defend", "against", "ransomware", "attacks", ",", "organizations", "must", "look", "inward", ",", "review", "their", "current", "security", "strategy", "and", "ensure", "no", "windows", "are", "left", "open", "to", "give", "cybercriminals", "an", "easy", "way", "in", "."], "tags": ["O", "O", "O", "B-ATTACK_PATTERN", "I-ATTACK_PATTERN", "O", "O", "O", "B-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "O"]}
{"tokens": ["The", "IRGC", "fires", "16", "surfacetosurface", "ballistic", "missiles", "at", "the", "close", "of", "five", "days", "of", "military", "drills", "that", "generals", "said", "were", "a", "warning", "to", "Israel", "."], "tags": ["O", "B-GENERAL_IDENTITY", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-GENERAL_IDENTITY", "O"]}
{"tokens": ["Cl0p", "'s", "precipitous", "rise", "to", "the", "top", "of", "the", "charts", "this", "month", ",", "on", "the", "other", "hand", ",", "can", "be", "explained", "by", "their", "exploitation", "of", "a", "zero", "-", "day", "in", "MOVEit", "Transfer", ",", "a", "widely", "used", "file", "transfer", "software", "."], "tags": ["B-THREAT_ACTOR", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-VULNERABILITY", "I-VULNERABILITY", "I-VULNERABILITY", "O", "B-GENERAL_TOOL", "I-GENERAL_TOOL", "O", "O", "O", "O", "O", "O", "O", "O"]}
{"tokens": ["COSMICENERGY", "also", "has", "notable", "technical", "similarities", "with", "other", "OT", "malware", "families", "that", "have", "been", "developed", "or", "packaged", "using", "Python", "or", "that", "have", "utilized", "open", "-", "source", "libraries", "for", "OT", "protocol", "implementation", ",", "including", ",", ",", "and", "."], "tags": ["B-MALWARE", "O", "B-INDICATOR", "I-INDICATOR", "I-INDICATOR", "I-INDICATOR", "I-INDICATOR", "I-INDICATOR", "I-INDICATOR", "I-INDICATOR", "I-INDICATOR", "I-INDICATOR", "I-INDICATOR", "I-INDICATOR", "I-INDICATOR", "I-INDICATOR", "I-INDICATOR", "I-INDICATOR", "I-INDICATOR", "I-INDICATOR", "I-INDICATOR", "I-INDICATOR", "I-INDICATOR", "I-INDICATOR", "I-INDICATOR", "I-INDICATOR", "I-INDICATOR", "I-INDICATOR", "I-INDICATOR", "I-INDICATOR", "I-INDICATOR", "I-INDICATOR", "O", "O", "O", "O", "O"]}
{"tokens": ["The", "groups", "main", "goal", "is", "to", "conduct", "espionage", "and", "utilize", "the", "infected", "network", "to", "gain", "access", "to", "their", "clients", "networks", "."], "tags": ["O", "O", "O", "O", "O", "O", "B-ATTACK_MOTIVATION", "I-ATTACK_MOTIVATION", "O", "B-ATTACK_MOTIVATION", "I-ATTACK_MOTIVATION", "I-ATTACK_MOTIVATION", "I-ATTACK_MOTIVATION", "I-ATTACK_MOTIVATION", "I-ATTACK_MOTIVATION", "I-ATTACK_MOTIVATION", "I-ATTACK_MOTIVATION", "I-ATTACK_MOTIVATION", "I-ATTACK_MOTIVATION", "I-ATTACK_MOTIVATION", "O"]}
{"tokens": ["However", ",", "given", "the", "lack", "of", "conclusive", "evidence", ",", "we", "consider", "it", "also", "possible", "that", "a", "different", "actor", "-", "either", "with", "or", "without", "permission", "-", "reused", "code", "associated", "with", "the", "cyber", "range", "to", "develop", "this", "malware", "."], "tags": ["O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-GENERAL_IDENTITY", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-GENERAL_IDENTITY", "I-GENERAL_IDENTITY", "O", "O", "O", "B-MALWARE", "O"]}
{"tokens": ["To", "learn", "more", "about", "Vice", "Society", "attacks", "on", "education", "and", "how", "to", "protect", "against", "them", ",", "download", "the", "Malwarebytes", "Threat", "Intelligence", "Threat", "Brief", ":", "Vice", "Society", "."], "tags": ["O", "O", "O", "O", "B-CAMPAIGN", "I-CAMPAIGN", "I-CAMPAIGN", "O", "B-VICTIM_IDENTITY", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-GENERAL_IDENTITY", "O", "O", "O", "O", "O", "B-THREAT_ACTOR", "I-THREAT_ACTOR", "O"]}
{"tokens": ["For", "newer", "on", "-", "premises", "servers", ",", "Microsoft", "provided", "the", "same", "rule", "through", "the", "Exchange", "Emergency", "Mitigation", "Service,5", "which", "installs", "it", "automatically", "."], "tags": ["O", "O", "O", "O", "O", "O", "O", "B-GENERAL_IDENTITY", "O", "O", "O", "O", "O", "O", "B-INFRASTRUCTURE", "I-INFRASTRUCTURE", "I-INFRASTRUCTURE", "I-INFRASTRUCTURE", "O", "O", "O", "O", "O"]}
{"tokens": ["On", "October", "10", ",", "the", "actor", "leveraged", "an", "optical", "disc", "(", "ISO", ")", "image", "named", "\u201c", "a.iso", "\u201d", "to", "execute", "a", "native", "MicroSCADA", "binary", "in", "a", "likely", "attempt", "to", "execute", "malicious", "control", "commands", "to", "switch", "off", "substations", "."], "tags": ["O", "O", "O", "O", "O", "O", "B-OBSERVED_DATA", "I-OBSERVED_DATA", "I-OBSERVED_DATA", "I-OBSERVED_DATA", "I-OBSERVED_DATA", "I-OBSERVED_DATA", "I-OBSERVED_DATA", "I-OBSERVED_DATA", "I-OBSERVED_DATA", "I-OBSERVED_DATA", "I-OBSERVED_DATA", "I-OBSERVED_DATA", "O", "B-OBSERVED_DATA", "I-OBSERVED_DATA", "I-OBSERVED_DATA", "I-OBSERVED_DATA", "I-OBSERVED_DATA", "O", "O", "O", "O", "O", "B-IMPACT", "I-IMPACT", "I-IMPACT", "I-IMPACT", "I-IMPACT", "I-IMPACT", "I-IMPACT", "I-IMPACT", "O"]}
{"tokens": ["For", "newer", "on", "-", "premises", "servers", ",", "Microsoft", "provided", "the", "same", "rule", "through", "the", "Exchange", "Emergency", "Mitigation", "Service,5", "which", "installs", "it", "automatically", "."], "tags": ["O", "O", "B-INFRASTRUCTURE", "I-INFRASTRUCTURE", "I-INFRASTRUCTURE", "I-INFRASTRUCTURE", "O", "B-GENERAL_IDENTITY", "O", "O", "O", "O", "O", "O", "B-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "O", "O", "O", "O", "O"]}
{"tokens": ["Our", "initial", "investigation", "on", "the", "domains", "registered", "by", "Hack520", "revealed", "that", "similar", "domains", "(", "listed", "below", ")", "were", "registered", "by", "another", "profile", "."], "tags": ["O", "O", "O", "O", "O", "O", "O", "O", "B-THREAT_ACTOR", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O"]}
{"tokens": ["In", "particular", ",", "we", "managed", "to", "gather", "details", "on", "an", "individual", "using", "the", "handle", "Hack520", ",", "who", "we", "believe", "is", "connected", "to", "Winnti", "."], "tags": ["O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-THREAT_ACTOR", "O", "O", "O", "O", "O", "O", "O", "B-THREAT_ACTOR", "O"]}
{"tokens": ["or", "an", "attacker", "may", "have", "installed", "malware", "on", "the", "systems", "that", "transfer", "sensitive", "user", "data", "to", "an", "external", "command", "and", "control", "server", "."], "tags": ["O", "O", "B-THREAT_ACTOR", "O", "O", "O", "B-MALWARE", "O", "O", "O", "B-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "O", "O", "B-INFRASTRUCTURE", "I-INFRASTRUCTURE", "I-INFRASTRUCTURE", "I-INFRASTRUCTURE", "I-INFRASTRUCTURE", "O"]}
{"tokens": ["Notably", ",", "the", "main", "function", "contains", "logic", "flaws", "that", "cause", "it", "to", "only", "be", "able", "to", "connect", "to", "an", "MSSQL", "server", "and", "upload", "(", "LIGHTWORK", ")", "to", "it", ",", "before", "immediately", "attempting", "to", "clean", "itself", "up", "."], "tags": ["O", "O", "B-MALWARE_ANALYSIS", "I-MALWARE_ANALYSIS", "I-MALWARE_ANALYSIS", "I-MALWARE_ANALYSIS", "I-MALWARE_ANALYSIS", "I-MALWARE_ANALYSIS", "I-MALWARE_ANALYSIS", "I-MALWARE_ANALYSIS", "I-MALWARE_ANALYSIS", "I-MALWARE_ANALYSIS", "I-MALWARE_ANALYSIS", "I-MALWARE_ANALYSIS", "I-MALWARE_ANALYSIS", "I-MALWARE_ANALYSIS", "I-MALWARE_ANALYSIS", "I-MALWARE_ANALYSIS", "I-MALWARE_ANALYSIS", "I-MALWARE_ANALYSIS", "I-MALWARE_ANALYSIS", "I-MALWARE_ANALYSIS", "I-MALWARE_ANALYSIS", "I-MALWARE_ANALYSIS", "I-MALWARE_ANALYSIS", "I-MALWARE_ANALYSIS", "I-MALWARE_ANALYSIS", "I-MALWARE_ANALYSIS", "I-MALWARE_ANALYSIS", "I-MALWARE_ANALYSIS", "I-MALWARE_ANALYSIS", "I-MALWARE_ANALYSIS", "I-MALWARE_ANALYSIS", "I-MALWARE_ANALYSIS", "I-MALWARE_ANALYSIS", "I-MALWARE_ANALYSIS", "I-MALWARE_ANALYSIS"]}
{"tokens": ["Throughout", "its", "existence", ",", "KillNet", "\u2019s", "activities", "have", "primarily", "centered", "around", "DDoS", "attacks", "that", "generate", "only", "shallow", "impacts", "lasting", "short", "periods", "of", "time", "."], "tags": ["O", "O", "O", "O", "B-INTRUSION_SET", "I-INTRUSION_SET", "I-INTRUSION_SET", "O", "O", "O", "O", "B-INTRUSION_SET", "I-INTRUSION_SET", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O"]}
{"tokens": ["CrowdStrike", "security", "researchers", "were", "working", "to", "develop", "proof", "-", "of", "-", "concept", "(", "POC", ")", "code", "for", "an", "exploit", "method", "indicative", "of", "the", "logging", "present", "after", "recent", "Play", "ransomware", "attacks", "."], "tags": ["B-GENERAL_IDENTITY", "I-GENERAL_IDENTITY", "I-GENERAL_IDENTITY", "O", "O", "O", "B-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-INTRUSION_SET", "I-INTRUSION_SET", "I-INTRUSION_SET", "O"]}
{"tokens": ["When", "deploying", "GOGETTER", ",", "Mandiant", "observed", "Sandworm", "leverage", "Systemd", "service", "units", "designed", "to", "masquerade", "as", "legitimate", "or", "seemingly", "legitimate", "services", "."], "tags": ["O", "O", "B-ATTACK_TOOL", "O", "B-GENERAL_IDENTITY", "O", "B-THREAT_ACTOR", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O"]}
{"tokens": ["After", "Kaspersky", "\u2019s", "reports", "of", "these", "attacks", ",", "the", "rest", "of", "2013", "saw", "reduced", "intensity", "of", "the", "campaign", "."], "tags": ["O", "B-GENERAL_IDENTITY", "I-GENERAL_IDENTITY", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O"]}
{"tokens": ["Threat", "actors", "typically", "register", "and", "use", "several", "domains", "in", "order", "to", "discretely", "lead", "their", "malware", "to", "their", "Command", "and", "Control", "(", "C&C", ")", "servers", "."], "tags": ["O", "O", "O", "O", "O", "O", "B-INFRASTRUCTURE", "I-INFRASTRUCTURE", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O"]}
{"tokens": ["The", "program", ",", "No", "More", "Ransom", ",", "was", "conceived", "and", "supported", "by", "the", "National", "High", "Tech", "Crime", "Unit", "of", "the", "Netherlands", "police", ",", "Europols", "European", "Cybercrime", "Centre", ",", "Kaspersky", ",", "and", "McAfee", "and", "offers", "over", "135", "freely", "available", "decryption", "tools", "that", "can", "help", "with", "165", "variants", "of", "ransomware", "."], "tags": ["O", "O", "O", "B-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "O", "O", "O", "O", "O", "O", "O", "B-GENERAL_IDENTITY", "I-GENERAL_IDENTITY", "I-GENERAL_IDENTITY", "I-GENERAL_IDENTITY", "I-GENERAL_IDENTITY", "I-GENERAL_IDENTITY", "I-GENERAL_IDENTITY", "I-GENERAL_IDENTITY", "I-GENERAL_IDENTITY", "O", "B-GENERAL_IDENTITY", "I-GENERAL_IDENTITY", "I-GENERAL_IDENTITY", "I-GENERAL_IDENTITY", "O", "B-GENERAL_IDENTITY", "O", "O", "B-GENERAL_IDENTITY", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-MALWARE", "I-MALWARE", "I-MALWARE", "O"]}
{"tokens": ["Sandworm", "deployed", "CADDYWIPER", "in", "this", "operation", "via", "two", "Group", "Policy", "Objects", "(", "GPO", ")", "from", "a", "Domain", "Controller", "using", "TANKTRAP", "."], "tags": ["B-THREAT_ACTOR", "O", "B-MALWARE", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-ATTACK_TOOL", "O"]}
{"tokens": ["Agrius", "exploits", "publicly", "facing", "VPN", "services", "primarily", "ProtonVPN", "for", "initial", "access", ",", "deploying", "web", "shells", "to", "tunnel", "RDP", "traffic", "as", "well", "as", "leveraging", "compromised", "accounts", "and", "using", "a", "variety", "of", "publicly", "available", "tools", "for", "lateral", "movement", "and", "credential", "harvesting", "."], "tags": ["B-THREAT_ACTOR", "O", "B-ATTACK_TOOL", "I-ATTACK_TOOL", "I-ATTACK_TOOL", "I-ATTACK_TOOL", "O", "B-ATTACK_TOOL", "O", "O", "O", "O", "B-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "O", "O", "O", "B-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "O", "O", "O", "O", "O", "B-ATTACK_TOOL", "I-ATTACK_TOOL", "I-ATTACK_TOOL", "O", "B-ATTACK_PATTERN", "I-ATTACK_PATTERN", "O", "B-ATTACK_PATTERN", "I-ATTACK_PATTERN", "O"]}
{"tokens": ["Denotes", "Vulnerable", "Software", "Are", "we", "missing", "a", "CPE", "here", "?"], "tags": ["O", "O", "O", "O", "O", "O", "O", "B-VULNERABILITY", "O", "O"]}
{"tokens": ["Threat", "actors", "like", "the", "Winnti", "group", "rarely", "ever", "stay", "static", "in", "terms", "of", "both", "tools", "and", "tactics", "."], "tags": ["B-THREAT_ACTOR", "I-THREAT_ACTOR", "O", "O", "B-THREAT_ACTOR", "I-THREAT_ACTOR", "B-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "O"]}
{"tokens": ["This", "attack", "represents", "an", "immediate", "threat", "to", "Ukrainian", "critical", "infrastructure", "environments", "leveraging", "the", "MicroSCADA", "supervisory", "control", "system", "."], "tags": ["O", "O", "O", "O", "O", "O", "O", "B-VICTIM_IDENTITY", "I-VICTIM_IDENTITY", "I-VICTIM_IDENTITY", "I-VICTIM_IDENTITY", "O", "O", "B-INFRASTRUCTURE", "O", "B-INFRASTRUCTURE", "I-INFRASTRUCTURE", "O"]}
{"tokens": ["TLDR", "SentinelOne", "has", "recently", "released", "a", "report", "on", "an", "Iranianaligned", "threat", "actor", "targeting", "VMware", "Horizon", "Log4j", "vulnerabilities", "to", "deploy", "ransomware", "."], "tags": ["O", "B-GENERAL_IDENTITY", "O", "O", "O", "O", "O", "O", "O", "B-ATTACK_MOTIVATION", "B-THREAT_ACTOR", "I-THREAT_ACTOR", "O", "B-VULNERABILITY", "I-VULNERABILITY", "I-VULNERABILITY", "I-VULNERABILITY", "O", "B-ATTACK_PATTERN", "I-ATTACK_PATTERN", "O"]}
{"tokens": ["Within", "24", "hours", "of", "gaining", "initial", "access", "to", "systems", "in", "the", "victim", "environment", ",", "the", "threat", "actor", "deployed", "additional", "backdoors", "and", "established", "persistence", "via", "plists", "."], "tags": ["B-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "O"]}
{"tokens": ["Created", "between", "2017", "and", "2019", ",", "these", "fill", "a", "gap", "in", "the", "Dukes", "\u2019", "activity", ",", "proving", "a", "continued", ",", "under", "the", "radar", "presence", "."], "tags": ["O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-THREAT_ACTOR", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O"]}
{"tokens": ["The", "threat", "actor", "downloaded", "and", "executed", "/usr", "/", "local", "/", "bin", "/", "com.docker.vmnat", "using", "the", "aforementioned", "Ruby", "script", "."], "tags": ["B-THREAT_ACTOR", "I-THREAT_ACTOR", "I-THREAT_ACTOR", "B-OBSERVED_DATA", "I-OBSERVED_DATA", "I-OBSERVED_DATA", "I-OBSERVED_DATA", "I-OBSERVED_DATA", "I-OBSERVED_DATA", "I-OBSERVED_DATA", "I-OBSERVED_DATA", "I-OBSERVED_DATA", "I-OBSERVED_DATA", "I-OBSERVED_DATA", "I-OBSERVED_DATA", "I-OBSERVED_DATA", "I-OBSERVED_DATA", "I-OBSERVED_DATA", "O"]}
{"tokens": ["Roughly", "one", "month", "later", ",", "Sandworm", "deployed", "GOGETTER", ",", "which", "is", "a", "tunneler", "written", "in", "Golang", "that", "proxies", "communications", "for", "its", "command", "and", "control", "(", "C2", ")", "server", "using", "the", "open", "-", "source", "library", "Yamux", "over", "TLS", "."], "tags": ["O", "O", "O", "O", "O", "B-THREAT_ACTOR", "O", "B-MALWARE", "O", "O", "O", "O", "B-MALWARE_ANALYSIS", "I-MALWARE_ANALYSIS", "I-MALWARE_ANALYSIS", "I-MALWARE_ANALYSIS", "I-MALWARE_ANALYSIS", "I-MALWARE_ANALYSIS", "I-MALWARE_ANALYSIS", "I-MALWARE_ANALYSIS", "I-MALWARE_ANALYSIS", "I-MALWARE_ANALYSIS", "I-MALWARE_ANALYSIS", "I-MALWARE_ANALYSIS", "I-MALWARE_ANALYSIS", "I-MALWARE_ANALYSIS", "I-MALWARE_ANALYSIS", "I-MALWARE_ANALYSIS", "I-MALWARE_ANALYSIS", "I-MALWARE_ANALYSIS", "I-MALWARE_ANALYSIS", "I-MALWARE_ANALYSIS", "I-MALWARE_ANALYSIS", "I-MALWARE_ANALYSIS", "I-MALWARE_ANALYSIS", "I-MALWARE_ANALYSIS", "I-MALWARE_ANALYSIS", "I-MALWARE_ANALYSIS"]}
{"tokens": ["The", "US", "Justice", "Department", "thinks", "he", "'s", "been", "deploying", "LockBit", "ransomware", "on", "victim", "networks", "both", "in", "the", "States", "and", "overseas", ",", "with", "the", "investigation", "having", "run", "from", "August", "2020", "through", "March", "2023", "."], "tags": ["O", "B-GENERAL_IDENTITY", "I-GENERAL_IDENTITY", "I-GENERAL_IDENTITY", "O", "O", "O", "O", "O", "B-MALWARE", "I-MALWARE", "O", "O", "O", "O", "O", "O", "B-LOCATION", "O", "B-LOCATION", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O"]}
{"tokens": ["STRATOFEAR", "\u2019s", "configuration", "file", "may", "include", "AES-128", "-", "encrypted", "modules", ";", "however", ",", "this", "was", "not", "the", "case", "in", "the", "discovered", "sample", "."], "tags": ["O", "O", "O", "O", "O", "B-MALWARE_ANALYSIS", "I-MALWARE_ANALYSIS", "I-MALWARE_ANALYSIS", "I-MALWARE_ANALYSIS", "I-MALWARE_ANALYSIS", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O"]}
{"tokens": ["According", "to", "Hitachi", "Energy", "\u2019s", "documentation", ",", "SCIL", "is", "a", "high", "level", "programming", "language", "designed", "for", "MicroSCADA", "control", "systems", "and", "can", "operate", "the", "system", "and", "its", "features", "(", "Figure", "9", ")", "."], "tags": ["O", "O", "B-GENERAL_IDENTITY", "I-GENERAL_IDENTITY", "O", "O", "O", "B-GENERAL_TOOL", "O", "O", "O", "O", "O", "O", "O", "O", "B-INFRASTRUCTURE", "I-INFRASTRUCTURE", "I-INFRASTRUCTURE", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O"]}
{"tokens": ["Technical", "Analysis", ":", "Sandworm", "Attack", "Against", "Ukrainian", "Substations"], "tags": ["O", "O", "O", "B-INTRUSION_SET", "I-INTRUSION_SET", "O", "B-VICTIM_IDENTITY", "I-VICTIM_IDENTITY"]}
{"tokens": ["Apropos", "of", "my", "retrospective", "report", ",", "Bullock", "found", "that", "a", "great", "many", "messages", "in", "Biderman", "\u2019s", "inbox", "were", "belligerent", "and", "anti", "-", "Semitic", "screeds", "from", "a", "former", "Ashley", "Madison", "employee", "named", "William", "Brewster", "Harrison", "."], "tags": ["O", "O", "O", "O", "O", "O", "B-GENERAL_IDENTITY", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-GENERAL_IDENTITY", "I-GENERAL_IDENTITY", "I-GENERAL_IDENTITY", "O", "B-GENERAL_IDENTITY", "I-GENERAL_IDENTITY", "I-GENERAL_IDENTITY", "O"]}
{"tokens": ["COSMICENERGY", "accomplishes", "this", "via", "its", "two", "derivative", "components", ",", "which", "we", "track", "as", "PIEHOP", "and", "LIGHTWORK", "(", "see", "appendices", "for", "technical", "analyses", ")", "."], "tags": ["B-MALWARE", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-ATTACK_TOOL", "O", "B-ATTACK_TOOL", "O", "O", "O", "O", "O", "O", "O", "O"]}
{"tokens": ["These", "products", "are", "known", "as", "commercial", "spyware", "."], "tags": ["O", "O", "O", "O", "O", "B-ATTACK_TOOL", "I-ATTACK_TOOL", "O"]}
{"tokens": ["In", "one", "particular", "forum", "post", ",", "Hack520", "mentions", "that", "he", "was", "previously", "jailed", "for", "a", "period", "of", "10", "months", "in", "a", "blog", "post", "dated", "May", "31", ",", "2009", "."], "tags": ["O", "O", "O", "O", "O", "O", "B-THREAT_ACTOR", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O"]}
{"tokens": ["move", "the", "string", "to", "its", "location", "."], "tags": ["B-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "O"]}
{"tokens": ["Analysts", "often", "identify", "various", "IOCs", "to", "look", "for", "correlation", "and", "piece", "them", "together", "to", "analyze", "a", "potential", "threat", "or", "incident", "."], "tags": ["O", "O", "B-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "O"]}
{"tokens": ["The", "solution", ",", "according", "to", "a", "recent", "Data", "Center", "Journal", "article", ",", "is", "application", "control", "."], "tags": ["O", "O", "O", "O", "O", "O", "O", "B-GENERAL_IDENTITY", "I-GENERAL_IDENTITY", "I-GENERAL_IDENTITY", "O", "O", "O", "B-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "O"]}
{"tokens": ["These", "samples", "led", "us", "to", "the", "discovery", "of", "additional", "C&C", "servers", "that", "provided", "us", "with", "more", "information", "than", "we", "initially", "expected", "."], "tags": ["O", "O", "O", "O", "O", "O", "O", "O", "O", "B-INFRASTRUCTURE", "I-INFRASTRUCTURE", "I-INFRASTRUCTURE", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O"]}
{"tokens": ["For", "example", ",", "the", "United", "States", "has", "assessed", "that", "Russian", "military", "cyber", "operators", "have", "deployed", "multiple", "families", "of", "destructive", "wiper", "malware", ",", "including", "WhisperGate", ",", "on", "Ukrainian", "Government", "and", "private", "sector", "networks", "."], "tags": ["O", "O", "O", "B-GENERAL_IDENTITY", "I-GENERAL_IDENTITY", "I-GENERAL_IDENTITY", "O", "O", "O", "B-INTRUSION_SET", "I-INTRUSION_SET", "I-INTRUSION_SET", "I-INTRUSION_SET", "O", "O", "B-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "O", "O", "B-THREAT_ACTOR", "O", "O", "B-VICTIM_IDENTITY", "I-VICTIM_IDENTITY", "O", "B-VICTIM_IDENTITY", "I-VICTIM_IDENTITY", "I-VICTIM_IDENTITY", "O"]}
{"tokens": ["These", "types", "of", "approaches", "are", "not", "uncommon", "historically", ",", "groups", "have", "done", "things", "like", "provide", "\"", "security", "reports", "\"", "to", "compromised", "organizations", "to", "help", "them", "\"", "resolve", "the", "issue", ".", "\""], "tags": ["O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-MALWARE_ANALYSIS", "I-MALWARE_ANALYSIS", "I-MALWARE_ANALYSIS", "I-MALWARE_ANALYSIS", "I-MALWARE_ANALYSIS", "I-MALWARE_ANALYSIS", "I-MALWARE_ANALYSIS", "I-MALWARE_ANALYSIS", "I-MALWARE_ANALYSIS", "I-MALWARE_ANALYSIS", "O"]}
{"tokens": ["If", "an", "adversary", "can", "send", "an", "unauthorized", "command", "message", "to", "a", "control", "system", ",", "then", "it", "can", "instruct", "the", "control", "systems", "device", "to", "perform", "an", "action", "outside", "the", "normal", "bounds", "of", "the", "device", "'s", "actions", "."], "tags": ["B-VULNERABILITY", "I-VULNERABILITY", "I-VULNERABILITY", "I-VULNERABILITY", "I-VULNERABILITY", "I-VULNERABILITY", "I-VULNERABILITY", "I-VULNERABILITY", "I-VULNERABILITY", "I-VULNERABILITY", "I-VULNERABILITY", "I-VULNERABILITY", "I-VULNERABILITY", "I-VULNERABILITY", "I-VULNERABILITY", "I-VULNERABILITY", "I-VULNERABILITY", "I-VULNERABILITY", "I-VULNERABILITY", "I-VULNERABILITY", "I-VULNERABILITY", "I-VULNERABILITY", "I-VULNERABILITY", "I-VULNERABILITY", "I-VULNERABILITY", "I-VULNERABILITY", "I-VULNERABILITY", "I-VULNERABILITY", "I-VULNERABILITY", "I-VULNERABILITY", "I-VULNERABILITY", "I-VULNERABILITY", "I-VULNERABILITY", "I-VULNERABILITY", "I-VULNERABILITY", "O"]}
{"tokens": ["using", "OP", "code", "sequences", "in", "getLastRecord", "method", "\"", "md5", "=", "\"", "eb842a9509dece779d138d2e6b0f6949", "\"", "malware_family", "=", "\"", "FREEFIRE", "\"", "strings", ":", "$", "s1", "=", "{", "72", "?", "?", "?", "?", "?", "?", "?", "?"], "tags": ["B-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O"]}
{"tokens": ["LIGHTWORK", "utilizes", "positional", "command", "line", "arguments", "for", "target", "device", ",", "port", ",", "and", "IEC-104", "command", "."], "tags": ["B-ATTACK_TOOL", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O"]}
{"tokens": ["But", "after", "being", "informed", "that", "Bradshaw", "was", "not", "subject", "to", "Canadian", "trademark", "laws", ",", "Avid", "Life", "offered", "to", "buy", "AshleyMadisonSucks.com", "for", "$", "10,000", "."], "tags": ["O", "O", "O", "O", "O", "B-GENERAL_IDENTITY", "O", "O", "O", "O", "O", "O", "O", "O", "B-GENERAL_IDENTITY", "I-GENERAL_IDENTITY", "O", "O", "O", "B-GENERAL_IDENTITY", "O", "O", "O", "O"]}
{"tokens": ["The", "file", "exclusion", "list", "maintained", "in", "Rhysida", "samples", "is", "most", "of", "the", "usual", "system", "directories", "required", "for", "the", "operating", "system", "to", "function", ":", "After", "encryption", ",", "the", "ransomware", "will", "display", "the", "ransom", "note", "by", "creating", "and", "opening", "it", "as", "a", "PDF", "and", "the", "background", "wallpaper", "."], "tags": ["B-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "O", "B-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "O"]}
{"tokens": ["Because", "com.docker.vmnat", "was", "likely", "compiled", "for", "x86", "-", "64", "systems", ",", "the", "code", "had", "to", "be", "translated", "to", "ARM64", "to", "successfully", "execute", "on", "the", "target", "system", "."], "tags": ["O", "B-ATTACK_TOOL", "O", "O", "O", "O", "B-INFRASTRUCTURE", "I-INFRASTRUCTURE", "I-INFRASTRUCTURE", "I-INFRASTRUCTURE", "O", "B-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "O"]}
{"tokens": ["\"", "A", "new", "ransomware", "family", "calling", "itself", "3AM", "has", "emerged", "."], "tags": ["O", "O", "O", "B-MALWARE", "O", "O", "O", "B-CAMPAIGN", "O", "O", "O"]}
{"tokens": ["While", "some", "of", "this", "risk", "can", "be", "unintentional", ",", "it", "is", "wise", "for", "businesses", "to", "use", "a", "framework", "of", "common", "factors", "and", "patterns", "typically", "seen", "to", "help", "enable", "proactive", "threat", "detection", "to", "identify", "potentially", "malicious", "intent", "."], "tags": ["O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "O"]}
{"tokens": ["Mandiant", "would", "like", "to", "acknowledge", "the", "Security", "Service", "of", "Ukraine", "(", "SBU", ")", "for", "their", "continued", "partnership", "and", "contributions", "to", "this", "report", "as", "well", "as", "their", "on", "-", "going", "collaboration", "."], "tags": ["B-GENERAL_IDENTITY", "O", "O", "O", "O", "O", "B-GENERAL_IDENTITY", "I-GENERAL_IDENTITY", "I-GENERAL_IDENTITY", "I-GENERAL_IDENTITY", "I-GENERAL_IDENTITY", "I-GENERAL_IDENTITY", "I-GENERAL_IDENTITY", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O"]}
{"tokens": ["These", "ransom", "demands", "are", "significantly", "lower", "than", "those", "made", "by", "many", "well", "-", "known", "ransomware", "gangs", "like", "RYUK", ",", "Babuk", ",", "REvil", ",", "Conti", ",", "DarkSide", ",", "BlackMatter", ",", "BlackCat", ",", "and", "Yanluowang", ",", "which", "are", "typically", "in", "the", "millions", "of", "dollars", "."], "tags": ["O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-MALWARE", "O", "B-MALWARE", "O", "B-MALWARE", "O", "B-MALWARE", "O", "B-MALWARE", "O", "B-MALWARE", "O", "B-MALWARE", "O", "O", "B-MALWARE", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O"]}
{"tokens": ["RGB", "-", "aligned", "crypto", "-", "focused", "groups", ",", "publicly", "reported", "under", "the", "umbrella", "term", "Lazarus", ",", "and", "clear", "variants", "of", "historic", ",", "established", "APT", "threat", "actors", "such", "as", "the", "open", "source", "\u201c", "TraderTraitor", "\u201d", "and", "\u201c", "AppleJeus", "\u201d", ",", "have", "increasingly", "conducted", "financially", "motivated", "operations", "that", "have", "affected", "the", "cryptocurrency", "industry", "and", "various", "blockchain", "platforms", "."], "tags": ["B-ATTACK_MOTIVATION", "I-ATTACK_MOTIVATION", "I-ATTACK_MOTIVATION", "I-ATTACK_MOTIVATION", "I-ATTACK_MOTIVATION", "I-ATTACK_MOTIVATION", "I-ATTACK_MOTIVATION", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-ATTACK_MOTIVATION", "I-ATTACK_MOTIVATION", "I-ATTACK_MOTIVATION", "I-ATTACK_MOTIVATION", "I-ATTACK_MOTIVATION", "I-ATTACK_MOTIVATION", "O", "O", "O", "O", "B-VICTIM_IDENTITY", "I-VICTIM_IDENTITY", "I-VICTIM_IDENTITY", "I-VICTIM_IDENTITY", "I-VICTIM_IDENTITY", "I-VICTIM_IDENTITY", "I-VICTIM_IDENTITY"]}
{"tokens": ["This", "incident", "was", "a", "multi", "-", "event", "cyber", "attack", "that", "leveraged", "a", "novel", "technique", "for", "impacting", "industrial", "control", "systems", "(", "ICS", ")", "/", "operational", "technology", "(", "OT", ")", "."], "tags": ["O", "O", "O", "B-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "O", "O", "O", "O", "O", "O", "O", "B-INFRASTRUCTURE", "I-INFRASTRUCTURE", "I-INFRASTRUCTURE", "I-INFRASTRUCTURE", "I-INFRASTRUCTURE", "I-INFRASTRUCTURE", "O", "B-INFRASTRUCTURE", "I-INFRASTRUCTURE", "I-INFRASTRUCTURE", "I-INFRASTRUCTURE", "I-INFRASTRUCTURE", "O"]}
{"tokens": ["Open", "-", "source", "Snort", "Subscriber", "Rule", "Set", "customers", "can", "stay", "up", "to", "date", "by", "downloading", "the", "latest", "rule", "pack", "available", "for", "purchase", "on", "Snort.org", "."], "tags": ["B-GENERAL_TOOL", "I-GENERAL_TOOL", "I-GENERAL_TOOL", "I-GENERAL_TOOL", "I-GENERAL_TOOL", "I-GENERAL_TOOL", "I-GENERAL_TOOL", "O", "O", "B-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "O"]}
{"tokens": ["TI", "Ops", "teams", ",", "security", "operations", ",", "and", "everyone", "within", "the", "security", "organization", "will", "benefit", "when", "threat", "intelligence", "is", "aggregated", ",", "enriched", ",", "analyzed", ",", "and", "acted", "upon", "from", "a", "single", "source", "."], "tags": ["B-GENERAL_IDENTITY", "I-GENERAL_IDENTITY", "I-GENERAL_IDENTITY", "O", "B-GENERAL_IDENTITY", "I-GENERAL_IDENTITY", "O", "O", "O", "O", "O", "B-GENERAL_IDENTITY", "I-GENERAL_IDENTITY", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O"]}
{"tokens": ["Numerous", "reports", "indicate", "that", "the", "primary", "method", "for", "such", "attacks", "is", "Advanced", "Persistent", "Threat", "APT", "."], "tags": ["O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-THREAT_ACTOR", "I-THREAT_ACTOR", "I-THREAT_ACTOR", "O"]}
{"tokens": ["The", "series", "features", "interviews", "with", "security", "experts", "and", "journalists", ",", "Ashley", "Madison", "executives", ",", "victims", "of", "the", "breach", "and", "jilted", "spouses", "."], "tags": ["O", "O", "O", "O", "O", "B-GENERAL_IDENTITY", "I-GENERAL_IDENTITY", "O", "B-GENERAL_IDENTITY", "O", "B-GENERAL_IDENTITY", "I-GENERAL_IDENTITY", "I-GENERAL_IDENTITY", "O", "B-VICTIM_IDENTITY", "I-VICTIM_IDENTITY", "I-VICTIM_IDENTITY", "I-VICTIM_IDENTITY", "O", "B-GENERAL_IDENTITY", "I-GENERAL_IDENTITY", "O"]}
{"tokens": ["Once", "accessing", "a", "victim", ",", "the", "attackers", "would", "determine", "if", "the", "user", "account", "was", "an", "administrator", "or", "normal", "user", "and", "then", "download", "postexploitation", "tools", ",", "including", "utilities", "to", "dump", "passwords", ",", "reversetunneling", "tools", ",", "and", "custom", "backdoors", "."], "tags": ["B-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "O"]}
{"tokens": ["The", "PDFs", "used", "highly", "relevant", ",", "well", "-", "crafted", "content", "that", "fabricated", "human", "rights", "seminar", "information", "and", "Ukraine", "\u2019s", "foreign", "policy", "and", "NATO", "membership", "plans", ",", "and", "were", "rigged", "with", "exploits", "attacking", "Adobe", "Reader", "versions", "9", ",", "10", "and", "11", ",", "bypassing", "its", "sandbox", "."], "tags": ["O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "O", "B-GENERAL_TOOL", "I-GENERAL_TOOL", "I-GENERAL_TOOL", "I-GENERAL_TOOL", "I-GENERAL_TOOL", "I-GENERAL_TOOL", "I-GENERAL_TOOL", "I-GENERAL_TOOL", "O", "O", "O", "O", "O"]}
{"tokens": ["As", "we", "\u2019ve", "talked", "about", ",", "commercial", "spyware", "is", "highly", "targeted", "."], "tags": ["O", "O", "O", "O", "O", "O", "B-ATTACK_TOOL", "I-ATTACK_TOOL", "O", "B-ATTACK_PATTERN", "I-ATTACK_PATTERN", "O"]}
{"tokens": ["The", "difference", "between", "ProxyNotShell", "and", "the", "newly", "discovered", "exploit", "method", "we", "are", "calling", "OWASSRF", "."], "tags": ["O", "O", "O", "B-VULNERABILITY", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-ATTACK_PATTERN", "O"]}
{"tokens": ["Security", "teams", "need", "to", "move", "fast", "to", "capitalize", "on", "information", "in", "alert", "communications", "like", "those", "issued", "regularly", "from", "agencies", "like", "HHS", "HC3", "."], "tags": ["B-GENERAL_IDENTITY", "I-GENERAL_IDENTITY", "O", "O", "B-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "O", "O", "O", "B-GENERAL_IDENTITY", "I-GENERAL_IDENTITY", "O"]}
{"tokens": ["Cisco", "Secure", "Email", "(", "formerly", "Cisco", "Email", "Security", ")", "can", "block", "malicious", "emails", "sent", "by", "threat", "actors", "as", "part", "of", "their", "campaign", "."], "tags": ["B-GENERAL_TOOL", "I-GENERAL_TOOL", "I-GENERAL_TOOL", "O", "O", "B-GENERAL_TOOL", "I-GENERAL_TOOL", "I-GENERAL_TOOL", "O", "O", "B-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "O"]}
{"tokens": ["reference", "to", "Hack520", "\u2019s", "passion", "for", "pigs", "."], "tags": ["O", "O", "B-THREAT_ACTOR", "O", "O", "O", "O", "O"]}
{"tokens": ["In", "other", "news", ",", "a", "suspected", "LockBit", "affiliate", "named", "Ruslan", "Magomedovich", "Astamirov", ",", "a", "20", "-", "year", "-", "old", "from", "the", "Chechen", "Republic", ",", "was", "arrested", "in", "Arizona", "last", "month", "."], "tags": ["O", "O", "O", "O", "O", "O", "B-THREAT_ACTOR", "O", "O", "B-GENERAL_IDENTITY", "I-GENERAL_IDENTITY", "I-GENERAL_IDENTITY", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-LOCATION", "I-LOCATION", "O", "O", "O", "O", "B-LOCATION", "O", "O", "O"]}
{"tokens": ["Cisco", "Talos", "is", "aware", "of", "the", "recent", "advisory", "published", "by", "the", "U.S.", "Department", "of", "Health", "and", "Human", "Services", "(", "HHS", ")", "warning", "the", "healthcare", "industry", "about", "Rhysida", "ransomware", "activity", "."], "tags": ["B-GENERAL_IDENTITY", "I-GENERAL_IDENTITY", "O", "O", "O", "O", "O", "O", "O", "O", "B-GENERAL_IDENTITY", "I-GENERAL_IDENTITY", "I-GENERAL_IDENTITY", "I-GENERAL_IDENTITY", "I-GENERAL_IDENTITY", "I-GENERAL_IDENTITY", "I-GENERAL_IDENTITY", "I-GENERAL_IDENTITY", "I-GENERAL_IDENTITY", "I-GENERAL_IDENTITY", "I-GENERAL_IDENTITY", "O", "O", "B-VICTIM_IDENTITY", "I-VICTIM_IDENTITY", "O", "B-INTRUSION_SET", "I-INTRUSION_SET", "I-INTRUSION_SET", "O"]}
{"tokens": ["Configure", "MicroSCADA", "to", "require", "authentication", "and", "establish", "a", "least", "privilege", "design", "for", "user", "permissions", "."], "tags": ["B-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION"]}
{"tokens": ["\u2022", "None", "consisting", "of", "CVE-2022", "-", "41080", "and", "CVE-2022", "-", "41082", "to", "achieve", "remote", "code", "execution", "(", "RCE", ")", "through", "Outlook", "Web", "Access", "(", "OWA", ")", "."], "tags": ["O", "O", "O", "O", "B-VULNERABILITY", "I-VULNERABILITY", "I-VULNERABILITY", "O", "B-VULNERABILITY", "I-VULNERABILITY", "I-VULNERABILITY", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-GENERAL_TOOL", "I-GENERAL_TOOL", "I-GENERAL_TOOL", "I-GENERAL_TOOL", "I-GENERAL_TOOL", "I-GENERAL_TOOL", "O"]}
{"tokens": ["We", "found", "roughly", "500", "domain", "names", "that", "lead", "or", "have", "led", "to", "the", "\u201c", "Pig", "network", "\u201d", "between", "2015", "to", "March", "2017", "."], "tags": ["O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-INFRASTRUCTURE", "I-INFRASTRUCTURE", "I-INFRASTRUCTURE", "O", "O", "O", "O", "O", "O"]}
{"tokens": ["This", "stolen", "credential", "access", "can", "also", "be", "used", "to", "launch", "a", "ransomware", "attack", "."], "tags": ["O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-CAMPAIGN", "I-CAMPAIGN", "O"]}
{"tokens": ["Cisco", "Talos", "recently", "worked", "with", "two", "vendors", "to", "patch", "multiple", "vulnerabilities", "in", "a", "favored", "software", "library", "used", "in", "chemistry", "laboratories", "and", "the", "Foxit", "PDF", "Reader", ",", "one", "of", "the", "most", "popular", "PDF", "reader", "alternatives", "to", "Adobe", "Acrobat", "."], "tags": ["B-GENERAL_IDENTITY", "I-GENERAL_IDENTITY", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-LOCATION", "I-LOCATION", "O", "O", "B-GENERAL_TOOL", "I-GENERAL_TOOL", "I-GENERAL_TOOL", "O", "O", "O", "O", "O", "O", "B-GENERAL_IDENTITY", "I-GENERAL_IDENTITY", "O", "O", "B-GENERAL_IDENTITY", "I-GENERAL_IDENTITY", "O"]}
{"tokens": ["They", "once", "attacked", "a", "game", "server", "to", "illicitly", "farm", "in", "-", "game", "currency", "(", "\u201c", "gaming", "gold", "\u201d", ",", "which", "also", "has", "real", "-", "world", "value", ")", "and", "stole", "source", "codes", "of", "online", "game", "projects", "."], "tags": ["O", "O", "O", "O", "O", "O", "O", "B-ATTACK_MOTIVATION", "I-ATTACK_MOTIVATION", "I-ATTACK_MOTIVATION", "I-ATTACK_MOTIVATION", "I-ATTACK_MOTIVATION", "I-ATTACK_MOTIVATION", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "O"]}
{"tokens": ["Acting", "against", "threats", "may", "be", "as", "simple", "as", "updating", "a", "block", "list", "or", "require", "considering", "where", "investments", "in", "new", "countermeasures", "should", "be", "made", "."], "tags": ["O", "O", "O", "O", "O", "O", "O", "O", "B-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "O", "O", "B-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "O"]}
{"tokens": ["Darkrace", "specifically", "targets", "Windows", "operating", "systems", "and", "has", "several", "similarities", "to", "LockBit", "."], "tags": ["B-MALWARE", "O", "O", "B-INFRASTRUCTURE", "I-INFRASTRUCTURE", "I-INFRASTRUCTURE", "O", "O", "O", "O", "O", "B-THREAT_ACTOR", "O"]}
{"tokens": ["This", "type", "of", "motivation", "calls", "for", "vigilance", "and", "for", "you", "to", "understand", "the", "exact", "data", "they", "maybe", "after", "and", "going", "above", "and", "beyond", "to", "protect", "it", "."], "tags": ["O", "O", "O", "O", "O", "O", "B-COURSE_OF_ACTION", "O", "O", "O", "O", "B-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "O"]}
{"tokens": ["PIEHOP", "expects", "its", "main", "function", "to", "be", "called", "via", "another", "Python", "file", ",", "supplying", "either", "the", "argument", "or", "."], "tags": ["B-ATTACK_TOOL", "O", "B-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "O", "O"]}
{"tokens": ["The", "first", ",", "CVE-2022", "-", "41123", ",", "has", "been", "revealed", "by", "ZDI", "to", "be", "DLL", "hijacking3", "due", "to", "the", "loading", "of", "a", "non", "-", "existent", "component", "by", "a", "privileged", "executed", "command", "."], "tags": ["O", "O", "O", "B-VULNERABILITY", "I-VULNERABILITY", "I-VULNERABILITY", "O", "O", "O", "O", "O", "B-GENERAL_IDENTITY", "O", "O", "B-ATTACK_PATTERN", "I-ATTACK_PATTERN", "O", "O", "O", "B-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "O"]}
{"tokens": ["Simultaneously", ",", "a", "threat", "researcher", "outside", "of", "CrowdStrike", "discovered", "an", "attacker", "\u2019s", "tooling", "via", "an", "open", "repository", ",", "downloaded", "all", "of", "the", "tools", ",", "and", "made", "them", "available", "through", "a", "MegaUpload", "link", "in", "a", "Twitter", "post.2"], "tags": ["O", "O", "O", "B-GENERAL_IDENTITY", "I-GENERAL_IDENTITY", "O", "O", "B-GENERAL_IDENTITY", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-GENERAL_TOOL", "O", "O", "O", "B-GENERAL_TOOL", "O"]}
{"tokens": ["We", "provide", "at", "-", "risk", "organizations", "with", "the", "following", "discovery", "methods", "to", "conduct", "threat", "hunts", "for", "tactics", ",", "techniques", ",", "and", "procedures", "(", "TTPs", ")", "implemented", "derived", "from", "the", "toolset", ":", "\u2022", "Establish", "collection", "and", "aggregation", "of", "host", "-", "based", "logs", "for", "crown", "jewels", "systems", "such", "as", "human", "-", "machine", "interfaces", "(", "HMI", ")", ",", "engineering", "workstations", "(", "EWS", ")", ",", "and", "OPC", "client", "servers", "within", "their", "environments", "and", "review", "logs", "for", "the", "evidence", "of", "Python", "script", "or", "unauthorized", "code", "execution", "on", "these", "systems", "."], "tags": ["O", "O", "O", "O", "B-GENERAL_IDENTITY", "I-GENERAL_IDENTITY", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "O", "O", "B-INFRASTRUCTURE", "I-INFRASTRUCTURE", "I-INFRASTRUCTURE", "I-INFRASTRUCTURE", "I-INFRASTRUCTURE", "I-INFRASTRUCTURE", "O", "O", "B-INFRASTRUCTURE", "I-INFRASTRUCTURE", "O", "B-INFRASTRUCTURE", "O", "O", "O", "B-INFRASTRUCTURE", "I-INFRASTRUCTURE", "I-INFRASTRUCTURE", "I-INFRASTRUCTURE", "I-INFRASTRUCTURE", "I-INFRASTRUCTURE", "O", "B-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "O", "O", "B-INDICATOR", "I-INDICATOR", "I-INDICATOR", "I-INDICATOR", "I-INDICATOR", "I-INDICATOR", "I-INDICATOR", "I-INDICATOR", "I-INDICATOR", "I-INDICATOR", "I-INDICATOR", "O"]}
{"tokens": ["Once", "a", "system", "was", "exploited", "a", "unique", "downloader", "was", "dropped", "onto", "the", "victim", "\u2019s", "disk", ",", "containing", "a", "customized", "micro", "backdoor", "written", "in", "Assembler", "."], "tags": ["B-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "O", "O", "B-GENERAL_TOOL", "O"]}
{"tokens": ["The", "group", "behind", "the", "Winnti", "malware", "(", "which", "we", "will", "call", "the", "Winnti", "group", "for", "brevity", ")", "sprung", "up", "as", "a", "band", "of", "traditional", "cyber", "crooks", ",", "comprising", "black", "hats", "whose", "technical", "skills", "were", "employed", "to", "perpetrate", "financial", "fraud", "."], "tags": ["O", "O", "O", "O", "B-MALWARE", "I-MALWARE", "O", "O", "O", "O", "O", "O", "B-THREAT_ACTOR", "I-THREAT_ACTOR", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-THREAT_ACTOR", "I-THREAT_ACTOR", "I-THREAT_ACTOR", "O", "O", "B-THREAT_ACTOR", "I-THREAT_ACTOR", "I-THREAT_ACTOR", "I-THREAT_ACTOR", "I-THREAT_ACTOR", "I-THREAT_ACTOR", "I-THREAT_ACTOR", "I-THREAT_ACTOR", "I-THREAT_ACTOR", "I-THREAT_ACTOR", "I-THREAT_ACTOR", "O"]}
{"tokens": ["For", "Snort", "coverage", "that", "can", "detect", "the", "exploitation", "of", "these", "vulnerabilities", ",", "download", "the", "latest", "rule", "sets", "from", "Snort.org", ",", "and", "our", "latest", "Vulnerability", "Advisories", "are", "always", "posted", "on", "Talos", "Intelligence", "\u2019s", "website", "."], "tags": ["O", "B-GENERAL_TOOL", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "O"]}
{"tokens": ["The", "group", "behind", "the", "Winnti", "malware", "(", "which", "we", "will", "call", "the", "Winnti", "group", "for", "brevity", ")", "sprung", "up", "as", "a", "band", "of", "traditional", "cyber", "crooks", ",", "comprising", "black", "hats", "whose", "technical", "skills", "were", "employed", "to", "perpetrate", "financial", "fraud", "."], "tags": ["O", "O", "O", "O", "B-MALWARE", "I-MALWARE", "O", "O", "O", "O", "O", "O", "B-THREAT_ACTOR", "I-THREAT_ACTOR", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-THREAT_ACTOR", "I-THREAT_ACTOR", "I-THREAT_ACTOR", "O", "O", "B-THREAT_ACTOR", "I-THREAT_ACTOR", "I-THREAT_ACTOR", "I-THREAT_ACTOR", "I-THREAT_ACTOR", "I-THREAT_ACTOR", "I-THREAT_ACTOR", "I-THREAT_ACTOR", "I-THREAT_ACTOR", "I-THREAT_ACTOR", "I-THREAT_ACTOR", "O"]}
{"tokens": ["Indicators", "can", "be", "enriched", "with", "data", "from", "thirdparty", "sources", "and", "CAL", "to", "identify", "and", "prioritize", "known", "malicious", "indicators", "."], "tags": ["B-INDICATOR", "O", "O", "O", "O", "O", "O", "B-GENERAL_IDENTITY", "I-GENERAL_IDENTITY", "O", "B-GENERAL_IDENTITY", "O", "B-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "I-COURSE_OF_ACTION", "O"]}
{"tokens": ["The", "decryption", "key", "and", "the", "initialization", "vector", "are", "either", "stored", "as", "obfuscated", "strings", "in", "the", "body", "of", "the", "downloader", "or", "calculated", "as", "an", "MD5", "checksum", "of", "the", "downloaded", "image", "file", "."], "tags": ["B-MALWARE_ANALYSIS", "I-MALWARE_ANALYSIS", "I-MALWARE_ANALYSIS", "I-MALWARE_ANALYSIS", "I-MALWARE_ANALYSIS", "I-MALWARE_ANALYSIS", "I-MALWARE_ANALYSIS", "I-MALWARE_ANALYSIS", "I-MALWARE_ANALYSIS", "I-MALWARE_ANALYSIS", "I-MALWARE_ANALYSIS", "I-MALWARE_ANALYSIS", "I-MALWARE_ANALYSIS", "I-MALWARE_ANALYSIS", "I-MALWARE_ANALYSIS", "I-MALWARE_ANALYSIS", "I-MALWARE_ANALYSIS", "I-MALWARE_ANALYSIS", "I-MALWARE_ANALYSIS", "O", "B-MALWARE_ANALYSIS", "I-MALWARE_ANALYSIS", "I-MALWARE_ANALYSIS", "I-MALWARE_ANALYSIS", "I-MALWARE_ANALYSIS", "I-MALWARE_ANALYSIS", "I-MALWARE_ANALYSIS", "I-MALWARE_ANALYSIS", "I-MALWARE_ANALYSIS", "I-MALWARE_ANALYSIS", "O"]}
{"tokens": ["In", "other", "news", ",", "a", "suspected", "LockBit", "affiliate", "named", "Ruslan", "Magomedovich", "Astamirov", ",", "a", "20", "-", "year", "-", "old", "from", "the", "Chechen", "Republic", ",", "was", "arrested", "in", "Arizona", "last", "month", "."], "tags": ["O", "O", "O", "O", "O", "O", "B-THREAT_ACTOR", "O", "O", "B-GENERAL_IDENTITY", "I-GENERAL_IDENTITY", "I-GENERAL_IDENTITY", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-LOCATION", "I-LOCATION", "O", "O", "O", "O", "B-LOCATION", "O", "O", "O"]}
{"tokens": ["Once", "encrypted", ",", "the", "file", "is", "then", "renamed", "to", "\u201c", "<", "filename>.rhysida", "\u201d", "."], "tags": ["O", "O", "O", "B-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "O"]}
{"tokens": ["Among", "the", "group", "\u2019s", "most", "interesting", "characteristics", "are", ":", "\u2022", "Strong", "functional", "and", "structural", "similarities", "linking", "its", "malware", "toolset", "to", "early", "MiniDuke", "and", "more", "recent", "CosmicDuke", "and", "OnionDuke", "components", "In", "early", "2013", ",", "GReAT", "observed", "several", "incidents", "that", "were", "so", "unusual", "they", "suggested", "the", "existence", "of", "a", "new", ",", "previously", "unknown", "threat", "actor", "."], "tags": ["O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-MALWARE", "O", "O", "O", "B-MALWARE", "O", "B-MALWARE", "O", "O", "O", "O", "O", "B-GENERAL_IDENTITY", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-THREAT_ACTOR", "I-THREAT_ACTOR", "O"]}
{"tokens": ["The", "difference", "between", "ProxyNotShell", "and", "the", "newly", "discovered", "exploit", "method", "we", "are", "calling", "OWASSRF", "."], "tags": ["O", "O", "O", "B-VULNERABILITY", "O", "O", "O", "O", "O", "O", "O", "O", "O", "B-ATTACK_PATTERN", "O"]}
{"tokens": ["Today", ",", "in", "support", "of", "the", "European", "Union", "and", "other", "partners", ",", "the", "United", "States", "is", "sharing", "publicly", "its", "assessment", "that", "Russia", "launched", "cyber", "attacks", "in", "late", "February", "against", "commercial", "satellite", "communications", "networks", "to", "disrupt", "Ukrainian", "command", "and", "control", "during", "the", "invasion", ",", "and", "those", "actions", "had", "spillover", "impacts", "into", "other", "European", "countries", "."], "tags": ["O", "O", "O", "O", "O", "B-GENERAL_IDENTITY", "I-GENERAL_IDENTITY", "I-GENERAL_IDENTITY", "O", "O", "O", "O", "B-GENERAL_IDENTITY", "I-GENERAL_IDENTITY", "I-GENERAL_IDENTITY", "O", "O", "O", "O", "O", "O", "B-THREAT_ACTOR", "O", "B-INTRUSION_SET", "I-INTRUSION_SET", "O", "O", "O", "O", "B-INFRASTRUCTURE", "I-INFRASTRUCTURE", "I-INFRASTRUCTURE", "I-INFRASTRUCTURE", "O", "B-ATTACK_MOTIVATION", "I-ATTACK_MOTIVATION", "I-ATTACK_MOTIVATION", "I-ATTACK_MOTIVATION", "I-ATTACK_MOTIVATION", "I-ATTACK_MOTIVATION", "I-ATTACK_MOTIVATION", "I-ATTACK_MOTIVATION", "O", "O", "O", "O", "B-IMPACT", "I-IMPACT", "I-IMPACT", "I-IMPACT", "I-IMPACT", "I-IMPACT", "I-IMPACT", "O"]}
{"tokens": ["We", "believe", "this", "trend", "will", "continue", "as", "cybercriminals", "increasingly", "abuse", "these", "platforms", "to", "achieve", "objectives", "including", "malware", "distribution", ",", "theft", ",", "disinformation", "campaigns", ",", "and", "fraud", "."], "tags": ["O", "O", "O", "O", "O", "O", "O", "B-THREAT_ACTOR", "O", "B-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "O", "O", "O", "O", "B-ATTACK_MOTIVATION", "I-ATTACK_MOTIVATION", "O", "B-ATTACK_MOTIVATION", "O", "B-ATTACK_MOTIVATION", "O", "O", "O", "B-ATTACK_MOTIVATION", "O"]}
{"tokens": ["Attackers", "have", "long", "used", "commercial", "products", "developed", "by", "legitimate", "companies", "to", "compromise", "targeted", "devices", "."], "tags": ["B-THREAT_ACTOR", "O", "O", "O", "B-ATTACK_TOOL", "I-ATTACK_TOOL", "O", "O", "B-GENERAL_IDENTITY", "I-GENERAL_IDENTITY", "O", "B-ATTACK_MOTIVATION", "I-ATTACK_MOTIVATION", "I-ATTACK_MOTIVATION", "O"]}
{"tokens": ["This", "sample", "works", "in", "tandem", "with", "PIEHOP", ",", "which", "sets", "up", "the", "execution", "."], "tags": ["B-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "I-ATTACK_PATTERN", "O"]}
{"tokens": ["And", "the", "absence", "of", "activity", "in", "the", "period", "of", "activity", "."], "tags": ["O", "B-INDICATOR", "I-INDICATOR", "I-INDICATOR", "I-INDICATOR", "I-INDICATOR", "I-INDICATOR", "I-INDICATOR", "I-INDICATOR", "I-INDICATOR", "O"]}
{"tokens": ["TLDR", "Cybereason", "recently", "released", "a", "report", "detailing", "the", "Iranian", "threat", "actor", "Moses", "Staff", ",", "which", "was", "first", "spotted", "in", "October", "2021", "."], "tags": ["O", "B-GENERAL_IDENTITY", "O", "O", "O", "O", "O", "O", "B-THREAT_ACTOR", "I-THREAT_ACTOR", "I-THREAT_ACTOR", "B-THREAT_ACTOR", "I-THREAT_ACTOR", "O", "O", "O", "O", "O", "O", "O", "O", "O"]}
{"tokens": ["Lastly", ",", "we", "emphasize", "that", "although", "the", "samples", "of", "COSMICENERGY", "we", "obtained", "are", "potentially", "red", "team", "related", ",", "threat", "actors", "regularly", "leverage", "contractors", "and", "red", "team", "tools", "in", "real", "world", "threat", "activity", ",", "including", "during", "OT", "attacks", "."], "tags": ["O", "O", "O", "O", "O", "O", "O", "O", "O", "B-MALWARE", "O", "O", "O", "O", "O", "O", "O", "O", "B-THREAT_ACTOR", "I-THREAT_ACTOR", "O", "O", "O", "O", "B-ATTACK_TOOL", "I-ATTACK_TOOL", "I-ATTACK_TOOL", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O"]}
{"tokens": ["Within", "core", "files", "of", "appliances", "that", "were", "exploited", "with", "CVE-2023", "-", "4966", ",", "there", "were", "human", "-", "readable", "strings", "with", "more", "than", "120,000", "characters", ",", "filled", "with", "more", "than", "99", "%", "\u201c", "0", "\u201d", "characters", "."], "tags": ["O", "O", "O", "O", "O", "O", "O", "O", "O", "B-VULNERABILITY", "I-VULNERABILITY", "I-VULNERABILITY", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O"]}
{"tokens": ["After", "all", ",", "if", "a", "vulnerability", "exists", "one", "can", "expect", "that", "it", "will", "be", "exploited", "more", "than", "once", "."], "tags": ["O", "O", "O", "O", "O", "B-VICTIM_IDENTITY", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O", "O"]}
{"tokens": ["In", "general", "terms", ",", "spyware", "is", "software", "that", "can", "be", "installed", "on", "a", "device", "and", "used", "to", "monitor", "activity", "and/or", "capture", "potentially", "sensitive", "data", "."], "tags": ["O", "O", "O", "O", "B-MALWARE", "O", "B-MALWARE_ANALYSIS", "I-MALWARE_ANALYSIS", "I-MALWARE_ANALYSIS", "I-MALWARE_ANALYSIS", "I-MALWARE_ANALYSIS", "I-MALWARE_ANALYSIS", "I-MALWARE_ANALYSIS", "I-MALWARE_ANALYSIS", "I-MALWARE_ANALYSIS", "I-MALWARE_ANALYSIS", "I-MALWARE_ANALYSIS", "I-MALWARE_ANALYSIS", "I-MALWARE_ANALYSIS", "I-MALWARE_ANALYSIS", "I-MALWARE_ANALYSIS", "I-MALWARE_ANALYSIS", "I-MALWARE_ANALYSIS", "I-MALWARE_ANALYSIS", "O"]}