CTT Report Hub
#ParsedReport #CompletenessMedium 15-08-2025 Supply Chain Risk in Python: Termncolor and Colorinal Explained https://www.zscaler.com/blogs/security-research/supply-chain-risk-python-termncolor-and-colorinal-explained Report completeness: Medium Threats:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Supply-chain атака через termncolor, используемая в unicode.py который загружает terminate.dll/terminate.итак, который выполняется, а затем удаляет сам себя. terminate dll AES‑CBC расшифровывает полезную нагрузку, используя ключ "xterminalunicode", отбрасывает vcpktsvr.exe в %LOCALAPPDATA%\vcpacket и создает HKCU, запускающий pkt‑обновление для закрепления (Linux через terminate.so ). Вторая стадия libcef.dll собирает метаданные хоста и отфильтровывает их по протоколу HTTPS, используя шаблоны, подобные Zulip, при одновременном запутывании имен API / DLL с помощью пользовательского умножения ASCII / побитового хэширования.
-----
Была идентифицирована вредоносная цепочка supply-chain Python, в которой кажущийся безобидным пакет termncolor подключал зависимость с именем colorinal, которая содержала фактическое вредоносное ПО. Модуль-нарушитель включал в себя файл unicode.py это маскировалось под терминальную цветовую утилиту, но предоставляло функцию is_color_supported, которая загружает встроенную собственную библиотеку (terminate.библиотека dll в Windows, завершите работу.так и в Linux). Эта собственная библиотека выполняет действия первого этапа и удаляет unicode.py и родную библиотеку после выполнения, чтобы избежать обнаружения.
прекратить.библиотека dll расшифровывает встроенную полезную нагрузку, используя AES-CBC с ключевой строкой UTF-8 "xterminalunicode", предоставляемой уровнем Python. Расшифрованная полезная нагрузка содержит компоненты, сброшенные на диск, включая исполняемый файл Windows vcpktsvr.exe размещен в разделе %LOCALAPPDATA%\vcpacket. Закрепление достигается путем создания ключа запуска pkt-update в разделе HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run, указывающего на vcpktsvr.exe . Вариант Linux использует terminate.so для обеспечения эквивалентной функциональности в Unix-подобных системах.
Компонент второго этапа, libcef.dll (отброшен на первом этапе), реализует функциональность C2 и разведку. Он собирает системные метаданные, такие как имя компьютера, имя пользователя и версия операционной системы, объединяет и форматирует эти значения и передает их на сервер управления по протоколу HTTPS. Трафик C2 запутывается за счет использования шаблонов протокола платформы обмена сообщениями Zulip team для смешивания с законными сообщениями. Вредоносное ПО также использует пользовательскую облегченную процедуру хэширования API, которая оперирует значениями ASCII с умножением и побитовыми операциями для запутывания имен API /DLL-библиотек; этот подход быстр, но увеличивает риск коллизий по сравнению с криптографическими хэшами.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Supply-chain атака через termncolor, используемая в unicode.py который загружает terminate.dll/terminate.итак, который выполняется, а затем удаляет сам себя. terminate dll AES‑CBC расшифровывает полезную нагрузку, используя ключ "xterminalunicode", отбрасывает vcpktsvr.exe в %LOCALAPPDATA%\vcpacket и создает HKCU, запускающий pkt‑обновление для закрепления (Linux через terminate.so ). Вторая стадия libcef.dll собирает метаданные хоста и отфильтровывает их по протоколу HTTPS, используя шаблоны, подобные Zulip, при одновременном запутывании имен API / DLL с помощью пользовательского умножения ASCII / побитового хэширования.
-----
Была идентифицирована вредоносная цепочка supply-chain Python, в которой кажущийся безобидным пакет termncolor подключал зависимость с именем colorinal, которая содержала фактическое вредоносное ПО. Модуль-нарушитель включал в себя файл unicode.py это маскировалось под терминальную цветовую утилиту, но предоставляло функцию is_color_supported, которая загружает встроенную собственную библиотеку (terminate.библиотека dll в Windows, завершите работу.так и в Linux). Эта собственная библиотека выполняет действия первого этапа и удаляет unicode.py и родную библиотеку после выполнения, чтобы избежать обнаружения.
прекратить.библиотека dll расшифровывает встроенную полезную нагрузку, используя AES-CBC с ключевой строкой UTF-8 "xterminalunicode", предоставляемой уровнем Python. Расшифрованная полезная нагрузка содержит компоненты, сброшенные на диск, включая исполняемый файл Windows vcpktsvr.exe размещен в разделе %LOCALAPPDATA%\vcpacket. Закрепление достигается путем создания ключа запуска pkt-update в разделе HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run, указывающего на vcpktsvr.exe . Вариант Linux использует terminate.so для обеспечения эквивалентной функциональности в Unix-подобных системах.
Компонент второго этапа, libcef.dll (отброшен на первом этапе), реализует функциональность C2 и разведку. Он собирает системные метаданные, такие как имя компьютера, имя пользователя и версия операционной системы, объединяет и форматирует эти значения и передает их на сервер управления по протоколу HTTPS. Трафик C2 запутывается за счет использования шаблонов протокола платформы обмена сообщениями Zulip team для смешивания с законными сообщениями. Вредоносное ПО также использует пользовательскую облегченную процедуру хэширования API, которая оперирует значениями ASCII с умножением и побитовыми операциями для запутывания имен API /DLL-библиотек; этот подход быстр, но увеличивает риск коллизий по сравнению с криптографическими хэшами.
#ParsedReport #CompletenessMedium
15-08-2025
Dark Web Profile: Void Blizzard
https://socradar.io/dark-web-profile-void-blizzard/
Report completeness: Medium
Actors/Campaigns:
Void_blizzard (motivation: cyber_espionage)
Fancy_bear
Threats:
Supply_chain_technique
Password_spray_technique
Spear-phishing_technique
Typosquatting_technique
Evilginx_tool
Aitm_technique
Azurehound_tool
Qshing_technique
Victims:
Governments, Defense sector, Critical infrastructure, Organizations linked to nato, Organizations linked to the european union
Industry:
E-commerce, Education, Ngo, Critical_infrastructure, Government, Aerospace, Military
Geo:
Ukraine, Russian, Dutch
TTPs:
Tactics: 6
Technics: 12
IOCs:
Domain: 1
Soft:
Microsoft Teams, Azure AD
15-08-2025
Dark Web Profile: Void Blizzard
https://socradar.io/dark-web-profile-void-blizzard/
Report completeness: Medium
Actors/Campaigns:
Void_blizzard (motivation: cyber_espionage)
Fancy_bear
Threats:
Supply_chain_technique
Password_spray_technique
Spear-phishing_technique
Typosquatting_technique
Evilginx_tool
Aitm_technique
Azurehound_tool
Qshing_technique
Victims:
Governments, Defense sector, Critical infrastructure, Organizations linked to nato, Organizations linked to the european union
Industry:
E-commerce, Education, Ngo, Critical_infrastructure, Government, Aerospace, Military
Geo:
Ukraine, Russian, Dutch
TTPs:
Tactics: 6
Technics: 12
IOCs:
Domain: 1
Soft:
Microsoft Teams, Azure AD
SOCRadar® Cyber Intelligence Inc.
Dark Web Profile: Void Blizzard
Void Blizzard is a newly identified Russian state-sponsored cyber threat group. Also known as Laundry Bear, the group first drew attention after an attack on
CTT Report Hub
#ParsedReport #CompletenessMedium 15-08-2025 Dark Web Profile: Void Blizzard https://socradar.io/dark-web-profile-void-blizzard/ Report completeness: Medium Actors/Campaigns: Void_blizzard (motivation: cyber_espionage) Fancy_bear Threats: Supply_chain_technique…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Void Blizzard (Laundry Bear) - поддерживаемый российским государством актор, действующий с 2024 года, нацеленный на правительства НАТО/ ЕС, оборону и критическую инфраструктуру, уделяя особое внимание совместной работе в облаке и электронной почте. Он получает доступ с помощью кражи учетных данных, фишинга, приобретенных сеансовых файлов cookie, Распыления пароля и прямого входа в облако Microsoft (Exchange Online, SharePoint). После компрометации он использует API Microsoft Graph и Exchange для перечисления, эксфильтрации, бокового перемещения и сохранения через доверенные учетные записи, избегая традиционного вредоносного ПО и оставляя минимальные артефакты.
-----
Void Blizzard (отслеживается голландской разведкой как "Laundry Bear") - актор кибершпионажа, поддерживаемый российским государством, действующий как минимум с 2024 года, с акцентом на правительства, оборонные секторы и критически важную инфраструктуру в странах НАТО и ЕС. Группа уделяет приоритетное внимание доступу к организациям, связанным с НАТО и Европейским союзом, и ориентирована на облачные сервисы совместной работы и электронной почты.
Тактика отдает предпочтение несложным, но скрытным методам, а не заказному вредоносному ПО. Void Blizzard редко использует традиционное вредоносное ПО; вместо этого он полагается на кражу учетных данных, фишинг и злоупотребление собственными Облачными сервисами и API для поддержания постоянного доступа с низким уровнем шума. Способы первоначального доступа включают использование украденных учетных данных и сеансовых файлов cookie, приобретенных на криминальных рынках, прямой вход в Облачные сервисы Microsoft, такие как Exchange Online и SharePoint, а также кампании по password-spraying, в которых используется небольшое количество общих паролей для многих учетных записей, чтобы избежать блокировок и обнаружения.
Действия после компрометации сосредоточены на злоупотреблении облачными API и интерфейсами управления для перечисления, эксфильтрации и поддержания доступа. Группа использует API Microsoft Graph и Exchange Online для горизонтального перемещения в облачных средах, доступа к почтовым ящикам и файлам и сохранения данных через доверенные учетные записи, а не для внедрения обнаруживаемого вредоносного ПО. Такое злоупотребление законными облачными функциями обеспечивает долговременный доступ с ограниченными криминалистическими артефактами, типичными для вторжений, основанных на вредоносном ПО.
В защитных целях особое внимание уделяется идентификации и облачной гигиене, а не антивирусу конечных точек. Эффективные меры по снижению рисков включают надежную защиту идентификационных данных (Многофакторная аутентификация, условный доступ), обнаружение и реагирование на аномальные модели аутентификации и использования API (необычные вызовы Microsoft Graph или Exchange Online, повторное использование файлов cookie в сеансе, нетипичные географические области или время входа в систему), быструю ротацию учетных данных и мониторинг продаж учетных данных и файлов cookie, а также более жесткие меры элементы управления привилегированными Облачными учетными записями. Поскольку актор использует доверенные учетные записи и встроенные облачные инструменты, защитникам следует уделять приоритетное внимание управлению доступом, протоколированию активности облачного API и оповещению об аномальном поведении токена или сеанса.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Void Blizzard (Laundry Bear) - поддерживаемый российским государством актор, действующий с 2024 года, нацеленный на правительства НАТО/ ЕС, оборону и критическую инфраструктуру, уделяя особое внимание совместной работе в облаке и электронной почте. Он получает доступ с помощью кражи учетных данных, фишинга, приобретенных сеансовых файлов cookie, Распыления пароля и прямого входа в облако Microsoft (Exchange Online, SharePoint). После компрометации он использует API Microsoft Graph и Exchange для перечисления, эксфильтрации, бокового перемещения и сохранения через доверенные учетные записи, избегая традиционного вредоносного ПО и оставляя минимальные артефакты.
-----
Void Blizzard (отслеживается голландской разведкой как "Laundry Bear") - актор кибершпионажа, поддерживаемый российским государством, действующий как минимум с 2024 года, с акцентом на правительства, оборонные секторы и критически важную инфраструктуру в странах НАТО и ЕС. Группа уделяет приоритетное внимание доступу к организациям, связанным с НАТО и Европейским союзом, и ориентирована на облачные сервисы совместной работы и электронной почты.
Тактика отдает предпочтение несложным, но скрытным методам, а не заказному вредоносному ПО. Void Blizzard редко использует традиционное вредоносное ПО; вместо этого он полагается на кражу учетных данных, фишинг и злоупотребление собственными Облачными сервисами и API для поддержания постоянного доступа с низким уровнем шума. Способы первоначального доступа включают использование украденных учетных данных и сеансовых файлов cookie, приобретенных на криминальных рынках, прямой вход в Облачные сервисы Microsoft, такие как Exchange Online и SharePoint, а также кампании по password-spraying, в которых используется небольшое количество общих паролей для многих учетных записей, чтобы избежать блокировок и обнаружения.
Действия после компрометации сосредоточены на злоупотреблении облачными API и интерфейсами управления для перечисления, эксфильтрации и поддержания доступа. Группа использует API Microsoft Graph и Exchange Online для горизонтального перемещения в облачных средах, доступа к почтовым ящикам и файлам и сохранения данных через доверенные учетные записи, а не для внедрения обнаруживаемого вредоносного ПО. Такое злоупотребление законными облачными функциями обеспечивает долговременный доступ с ограниченными криминалистическими артефактами, типичными для вторжений, основанных на вредоносном ПО.
В защитных целях особое внимание уделяется идентификации и облачной гигиене, а не антивирусу конечных точек. Эффективные меры по снижению рисков включают надежную защиту идентификационных данных (Многофакторная аутентификация, условный доступ), обнаружение и реагирование на аномальные модели аутентификации и использования API (необычные вызовы Microsoft Graph или Exchange Online, повторное использование файлов cookie в сеансе, нетипичные географические области или время входа в систему), быструю ротацию учетных данных и мониторинг продаж учетных данных и файлов cookie, а также более жесткие меры элементы управления привилегированными Облачными учетными записями. Поскольку актор использует доверенные учетные записи и встроенные облачные инструменты, защитникам следует уделять приоритетное внимание управлению доступом, протоколированию активности облачного API и оповещению об аномальном поведении токена или сеанса.
#ParsedReport #CompletenessMedium
15-08-2025
UAT-7237 targets Taiwanese web hosting infrastructure
https://blog.talosintelligence.com/uat-7237-targets-web-hosting-infra/
Report completeness: Medium
Actors/Campaigns:
Uat-7237
Uat-5918
Flax_typhoon
Threats:
Cobalt_strike_tool
Soundbill_tool
Meterpreter_tool
Lolbin_technique
Sharpwmi_tool
Wmicmd_tool
Spear-phishing_technique
Mimikatz_tool
Juicypotato_tool
Fscan_tool
Netstat_tool
Victims:
Web infrastructure entities, Web hosting infrastructure
Geo:
Taiwanese, Chinese, Taiwan
ChatGPT TTPs:
T1003.001, T1036, T1055, T1068, T1082, T1105, T1112, T1133, T1190, T1204, have more...
IOCs:
Command: 17
IP: 2
Path: 6
Url: 2
File: 9
Domain: 1
Registry: 3
Coin: 1
Hash: 8
Soft:
SoftEther, Local Security Authority
Languages:
powershell
Links:
have more...
15-08-2025
UAT-7237 targets Taiwanese web hosting infrastructure
https://blog.talosintelligence.com/uat-7237-targets-web-hosting-infra/
Report completeness: Medium
Actors/Campaigns:
Uat-7237
Uat-5918
Flax_typhoon
Threats:
Cobalt_strike_tool
Soundbill_tool
Meterpreter_tool
Lolbin_technique
Sharpwmi_tool
Wmicmd_tool
Spear-phishing_technique
Mimikatz_tool
Juicypotato_tool
Fscan_tool
Netstat_tool
Victims:
Web infrastructure entities, Web hosting infrastructure
Geo:
Taiwanese, Chinese, Taiwan
ChatGPT TTPs:
do not use without manual checkT1003.001, T1036, T1055, T1068, T1082, T1105, T1112, T1133, T1190, T1204, have more...
IOCs:
Command: 17
IP: 2
Path: 6
Url: 2
File: 9
Domain: 1
Registry: 3
Coin: 1
Hash: 8
Soft:
SoftEther, Local Security Authority
Languages:
powershell
Links:
https://github.com/GhostPack/SharpWMIhttps://github.com/nccgroup/WMIcmdhave more...
https://github.com/cdxiaodong/some-function-in-binary/blob/08b66e5504f03373bd70341a4493a7450091c471/%E5%BC%82%E6%88%96%2B%E6%B7%B7%E6%B7%86/%E5%BC%82%E6%88%96%2B%E6%B7%B7%E6%B7%86/%E5%BC%82%E6%88%96%2B%E6%B7%B7%E6%B7%86.cppCisco Talos Blog
UAT-7237 targets Taiwanese web hosting infrastructure
Cisco Talos discovered UAT-7237, a Chinese-speaking advanced persistent threat (APT) group active since at least 2022, which has significant overlaps with UAT-5918.
CTT Report Hub
#ParsedReport #CompletenessMedium 15-08-2025 UAT-7237 targets Taiwanese web hosting infrastructure https://blog.talosintelligence.com/uat-7237-targets-web-hosting-infra/ Report completeness: Medium Actors/Campaigns: Uat-7237 Uat-5918 Flax_typhoon Threats:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
UAT-7237 (активен с 2022 года) - сложная целенаправленная атака на тайваньский веб-хостинг, использующая незащищенные серверы и выполняющая быстрое снятие отпечатков пальцев жертвы. Они развертывают SoundBill — загрузчик на базе VTHello, который декодирует диск "ptiti.txt " запустить произвольный шелл—код (можно встроить Mimikatz) - и использовать Mimikatz для кражи учетных данных. Действия после компрометации включают в себя JuicyPotato, изменения UAC в реестре, сканирование сети на предмет перемещения внутри компании и двоичные файлы SoftEther VPN для удаленного доступа и закрепления.
-----
Cisco Talos указывает на китайскоязычный кластер сложных целенаправленных атак, отслеживаемый как UAT-7237 (активен, по крайней мере, с 2022 года, со значительным совпадением с UAT-5918), который был нацелен на инфраструктуру веб-хостинга Тайваня. Актор получает первоначальный доступ, используя известные уязвимости на незащищенных от Интернета серверах, затем выполняет быструю проверку отпечатков пальцев жертв, чтобы определить, следует ли продолжать деятельность. Группа делает упор на скрытность и долгосрочное закрепление, в значительной степени полагаясь на индивидуальные инструменты с открытым исходным кодом.
Примечательным пользовательским инструментом в их арсенале является "SoundBill", загрузчик шелл-кода, основанный на VTHello. SoundBill написан на китайском языке, декодирует находящийся на диске файл с именем "ptiti.txt ," и выполняет результирующий шеллкод; он способен загружать произвольный шеллкод, включая полезные нагрузки Cobalt Strike. Талос наблюдал, как UAT-7237 внедряет функциональность Mimikatz в SoundBill, что указывает на эволюцию методов кражи учетных данных, позволяющих избежать обнаружения. Отдельно группа продолжает использовать Mimikatz для сбора учетных записей.
Для повышения привилегий UAT-7237 развертывает JuicyPotato для запуска команд с повышенными правами на скомпрометированных хостах Windows. Актор также вносит постоянные и оперативные изменения конфигурации в системы Windows, включая попытки отключить контроль учетных записей пользователей с помощью изменений реестра. Для расширения в пределах сред группа использует инструменты сетевого сканирования (названия не указаны) для обнаружения и перемещения в боковом направлении.
Артефакты, связанные с развертыванием инфраструктуры удаленного доступа, включают пакеты SoftEther VPN, размещенные на удаленном сервере: были обнаружены два архива, один из которых содержал исполняемый файл клиента SoftEther и конфигурацию, а другой ‑ двоичный файл сервера на основе ELF, что предполагает использование компонентов SoftEther для удаленного подключения или закрепления. В целом, UAT-7237 сочетает в себе использование выявленных уязвимостей, настраиваемых загрузчиков и встроенной кражи учетных данных, повышение привилегий, изменения конфигурации операционной системы и инструменты VPN для обеспечения скрытого долгосрочного доступа к ценным объектам веб-хостинга.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
UAT-7237 (активен с 2022 года) - сложная целенаправленная атака на тайваньский веб-хостинг, использующая незащищенные серверы и выполняющая быстрое снятие отпечатков пальцев жертвы. Они развертывают SoundBill — загрузчик на базе VTHello, который декодирует диск "ptiti.txt " запустить произвольный шелл—код (можно встроить Mimikatz) - и использовать Mimikatz для кражи учетных данных. Действия после компрометации включают в себя JuicyPotato, изменения UAC в реестре, сканирование сети на предмет перемещения внутри компании и двоичные файлы SoftEther VPN для удаленного доступа и закрепления.
-----
Cisco Talos указывает на китайскоязычный кластер сложных целенаправленных атак, отслеживаемый как UAT-7237 (активен, по крайней мере, с 2022 года, со значительным совпадением с UAT-5918), который был нацелен на инфраструктуру веб-хостинга Тайваня. Актор получает первоначальный доступ, используя известные уязвимости на незащищенных от Интернета серверах, затем выполняет быструю проверку отпечатков пальцев жертв, чтобы определить, следует ли продолжать деятельность. Группа делает упор на скрытность и долгосрочное закрепление, в значительной степени полагаясь на индивидуальные инструменты с открытым исходным кодом.
Примечательным пользовательским инструментом в их арсенале является "SoundBill", загрузчик шелл-кода, основанный на VTHello. SoundBill написан на китайском языке, декодирует находящийся на диске файл с именем "ptiti.txt ," и выполняет результирующий шеллкод; он способен загружать произвольный шеллкод, включая полезные нагрузки Cobalt Strike. Талос наблюдал, как UAT-7237 внедряет функциональность Mimikatz в SoundBill, что указывает на эволюцию методов кражи учетных данных, позволяющих избежать обнаружения. Отдельно группа продолжает использовать Mimikatz для сбора учетных записей.
Для повышения привилегий UAT-7237 развертывает JuicyPotato для запуска команд с повышенными правами на скомпрометированных хостах Windows. Актор также вносит постоянные и оперативные изменения конфигурации в системы Windows, включая попытки отключить контроль учетных записей пользователей с помощью изменений реестра. Для расширения в пределах сред группа использует инструменты сетевого сканирования (названия не указаны) для обнаружения и перемещения в боковом направлении.
Артефакты, связанные с развертыванием инфраструктуры удаленного доступа, включают пакеты SoftEther VPN, размещенные на удаленном сервере: были обнаружены два архива, один из которых содержал исполняемый файл клиента SoftEther и конфигурацию, а другой ‑ двоичный файл сервера на основе ELF, что предполагает использование компонентов SoftEther для удаленного подключения или закрепления. В целом, UAT-7237 сочетает в себе использование выявленных уязвимостей, настраиваемых загрузчиков и встроенной кражи учетных данных, повышение привилегий, изменения конфигурации операционной системы и инструменты VPN для обеспечения скрытого долгосрочного доступа к ценным объектам веб-хостинга.
#ParsedReport #CompletenessMedium
16-08-2025
Scattered Spider: A Threat Profile
https://flashpoint.io/blog/scattered-spider-threat-profile/
Report completeness: Medium
Actors/Campaigns:
0ktapus (motivation: information_theft, financially_motivated, cyber_criminal)
Lapsus
Unc6040
Sp1d3r_hunters
Spidermandata
Dragonforce
Shiny_spider
Threats:
Sim_swapping_technique
Blackcat
Qilin_ransomware
Ransomhub
Hellcat
Supply_chain_technique
Dragonforce_ransomware
Smishing_technique
Credential_dumping_technique
Byovd_technique
Mfa_bombing_technique
Teamviewer_tool
Anydesk_tool
Screenconnect_tool
Splashtop_tool
Fleetdeck_tool
Raccoon_stealer
Vidar_stealer
Redline_stealer
Avemaria_rat
Spectre_rat
Victims:
Multiple industries
Industry:
Foodtech, Aerospace, Logistic, Retail, Entertainment
Geo:
United kingdom
TTPs:
Tactics: 9
Technics: 16
Soft:
Telegram, twitter, Pulseway
Platforms:
intel
16-08-2025
Scattered Spider: A Threat Profile
https://flashpoint.io/blog/scattered-spider-threat-profile/
Report completeness: Medium
Actors/Campaigns:
0ktapus (motivation: information_theft, financially_motivated, cyber_criminal)
Lapsus
Unc6040
Sp1d3r_hunters
Spidermandata
Dragonforce
Shiny_spider
Threats:
Sim_swapping_technique
Blackcat
Qilin_ransomware
Ransomhub
Hellcat
Supply_chain_technique
Dragonforce_ransomware
Smishing_technique
Credential_dumping_technique
Byovd_technique
Mfa_bombing_technique
Teamviewer_tool
Anydesk_tool
Screenconnect_tool
Splashtop_tool
Fleetdeck_tool
Raccoon_stealer
Vidar_stealer
Redline_stealer
Avemaria_rat
Spectre_rat
Victims:
Multiple industries
Industry:
Foodtech, Aerospace, Logistic, Retail, Entertainment
Geo:
United kingdom
TTPs:
Tactics: 9
Technics: 16
Soft:
Telegram, twitter, Pulseway
Platforms:
intel
Flashpoint
Scattered Spider: A Threat Profile
In this post, we break down Scattered Spider’s history, their recent campaigns, and their evolving tactics, tools, and procedures.
CTT Report Hub
#ParsedReport #CompletenessMedium 16-08-2025 Scattered Spider: A Threat Profile https://flashpoint.io/blog/scattered-spider-threat-profile/ Report completeness: Medium Actors/Campaigns: 0ktapus (motivation: information_theft, financially_motivated, cyber_criminal)…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Scattered Spider проводит "волны", ориентированные на сектор, используя SMS-фишинг для подмены порталов единого входа, мошеннических доменов, SIM swapping и вишинг с использованием искусственного интеллекта для кражи учетных данных и обхода MFA. После компрометации операторы принудительно устанавливают RMM и злоупотребляют законными инструментами администрирования для перемещения внутри компании, эскалации и закрепления. Они извлекают массовые данные и запускают программы‑вымогатели с двойным вымогательством, используя / сотрудничая с ALPHV/BlackCat, RansomHub и DragonForce.
-----
Scattered Spider - это кластер действий, определяемый целевой социальной инженерией, кражей учетных данных, SIM swapping, получением первоначального доступа, внедрением программ-вымогателей и кражей/вымогательством данных. Группа применяет “волновой” подход, выбирая конкретную отрасль и быстро ориентируясь на множество организаций в этом секторе, с документально подтвержденными переходами к новым секторам и использованием компромиссов в цепочке поставок для расширения воздействия.
Первоначальный доступ часто зависит от SMS-фишинга, который заманивает цели на контролируемые злоумышленниками поддельные порталы единого входа (SSO); мошеннические домены обычно имитируют законные названия брендов или компаний для сбора учетных данных. SIM swapping и кража учетных данных являются дополнительными способами доступа. Наблюдатели отметили переход к голосовому фишингу (вишингу) в качестве основного метода: операторы выдают себя за сотрудников, чтобы заставить ИТ‑отдел и сотрудников службы поддержки сбросить пароли и обойти MFA, иногда используя генеративный искусственный интеллект для создания убедительных Имперсонаций голоса или чата.
Деятельность после компромисса делает упор на жизнь за пределами земли и злоупотребление законными административными инструментами, чтобы избежать обнаружения. Операторы принуждают жертв устанавливать программное обеспечение для удаленного мониторинга и управления (RMM) под видом ИТ‑поддержки, затем используют скомпрометированные учетные данные и встроенные средства администрирования для перемещения внутри компании, повышения привилегий и поддержания закрепления. Эти методы снижают зависимость от заказного вредоносного ПО и повышают оперативную скрытность.
Для воздействия и монетизации Scattered Spider применяет модель двойного вымогательства, сочетающую массовую эксфильтрацию данных с шифрованием файлов. Полезные программы-вымогатели были приписаны или развернуты в партнерстве с дочерними семействами, включая ALPHV/BlackCat, RansomHub и DragonForce. В целом, группа нацелена на слабые стороны персонала и процессов для обхода технического контроля, уделяя особое внимание социальной инженерии, краже учетных данных и злоупотреблению законными инструментами для обеспечения вторжения, перемещения внутри компании и вымогательства.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Scattered Spider проводит "волны", ориентированные на сектор, используя SMS-фишинг для подмены порталов единого входа, мошеннических доменов, SIM swapping и вишинг с использованием искусственного интеллекта для кражи учетных данных и обхода MFA. После компрометации операторы принудительно устанавливают RMM и злоупотребляют законными инструментами администрирования для перемещения внутри компании, эскалации и закрепления. Они извлекают массовые данные и запускают программы‑вымогатели с двойным вымогательством, используя / сотрудничая с ALPHV/BlackCat, RansomHub и DragonForce.
-----
Scattered Spider - это кластер действий, определяемый целевой социальной инженерией, кражей учетных данных, SIM swapping, получением первоначального доступа, внедрением программ-вымогателей и кражей/вымогательством данных. Группа применяет “волновой” подход, выбирая конкретную отрасль и быстро ориентируясь на множество организаций в этом секторе, с документально подтвержденными переходами к новым секторам и использованием компромиссов в цепочке поставок для расширения воздействия.
Первоначальный доступ часто зависит от SMS-фишинга, который заманивает цели на контролируемые злоумышленниками поддельные порталы единого входа (SSO); мошеннические домены обычно имитируют законные названия брендов или компаний для сбора учетных данных. SIM swapping и кража учетных данных являются дополнительными способами доступа. Наблюдатели отметили переход к голосовому фишингу (вишингу) в качестве основного метода: операторы выдают себя за сотрудников, чтобы заставить ИТ‑отдел и сотрудников службы поддержки сбросить пароли и обойти MFA, иногда используя генеративный искусственный интеллект для создания убедительных Имперсонаций голоса или чата.
Деятельность после компромисса делает упор на жизнь за пределами земли и злоупотребление законными административными инструментами, чтобы избежать обнаружения. Операторы принуждают жертв устанавливать программное обеспечение для удаленного мониторинга и управления (RMM) под видом ИТ‑поддержки, затем используют скомпрометированные учетные данные и встроенные средства администрирования для перемещения внутри компании, повышения привилегий и поддержания закрепления. Эти методы снижают зависимость от заказного вредоносного ПО и повышают оперативную скрытность.
Для воздействия и монетизации Scattered Spider применяет модель двойного вымогательства, сочетающую массовую эксфильтрацию данных с шифрованием файлов. Полезные программы-вымогатели были приписаны или развернуты в партнерстве с дочерними семействами, включая ALPHV/BlackCat, RansomHub и DragonForce. В целом, группа нацелена на слабые стороны персонала и процессов для обхода технического контроля, уделяя особое внимание социальной инженерии, краже учетных данных и злоупотреблению законными инструментами для обеспечения вторжения, перемещения внутри компании и вымогательства.
#ParsedReport #CompletenessHigh
16-08-2025
Threat Actor Profile: Interlock Ransomware
https://arcticwolf.com/resources/blog/threat-actor-profile-interlock-ransomware/
Report completeness: High
Actors/Campaigns:
Interlock
Threats:
Interlock
Clickfix_technique
Rhysida
Lolbin_technique
Filefix_technique
Lumma_stealer
Asyncrat
Danabot
Darkgate
Cobalt_strike_tool
Interlockrat
Nodesnake
Systembc
Victims:
City of st paul minnesota, Education, Healthcare, Technology, Government, Businesses, Critical infrastructure
Industry:
Education, Government, Entertainment, Healthcare, Critical_infrastructure
Geo:
America, Australia, Canada, Mexico
TTPs:
Tactics: 8
Technics: 17
IOCs:
Command: 2
Url: 1
Registry: 3
Hash: 12
IP: 17
Domain: 11
File: 1
Soft:
Linux, Twitter, PyInstaller, Google Chrome, Microsoft Edge, Chrome, trycloudflare, Windows registry, ESXi, WordPress, have more...
Algorithms:
sha1, gzip, xor, sha256
Functions:
Get-Service, Get-PSDrive
Languages:
powershell
16-08-2025
Threat Actor Profile: Interlock Ransomware
https://arcticwolf.com/resources/blog/threat-actor-profile-interlock-ransomware/
Report completeness: High
Actors/Campaigns:
Interlock
Threats:
Interlock
Clickfix_technique
Rhysida
Lolbin_technique
Filefix_technique
Lumma_stealer
Asyncrat
Danabot
Darkgate
Cobalt_strike_tool
Interlockrat
Nodesnake
Systembc
Victims:
City of st paul minnesota, Education, Healthcare, Technology, Government, Businesses, Critical infrastructure
Industry:
Education, Government, Entertainment, Healthcare, Critical_infrastructure
Geo:
America, Australia, Canada, Mexico
TTPs:
Tactics: 8
Technics: 17
IOCs:
Command: 2
Url: 1
Registry: 3
Hash: 12
IP: 17
Domain: 11
File: 1
Soft:
Linux, Twitter, PyInstaller, Google Chrome, Microsoft Edge, Chrome, trycloudflare, Windows registry, ESXi, WordPress, have more...
Algorithms:
sha1, gzip, xor, sha256
Functions:
Get-Service, Get-PSDrive
Languages:
powershell
Arctic Wolf
Threat Actor Profile: Interlock Ransomware - Arctic Wolf
A relatively new threat group, Interlock, has gained traction in 2025 as an opportunistic ransomware operator. In this blog, we’ll examine Interlock’s most common attack methods, and provide tips on how to protect your organization.
CTT Report Hub
#ParsedReport #CompletenessHigh 16-08-2025 Threat Actor Profile: Interlock Ransomware https://arcticwolf.com/resources/blog/threat-actor-profile-interlock-ransomware/ Report completeness: High Actors/Campaigns: Interlock Threats: Interlock Clickfix_technique…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Interlock (он же Nefarious Mantis), действующий с сентября 2024 года в NA/EU, использует скомпрометированные веб‑сайты с приманками социальной инженерии ClickFix /FileFix и поддельными обновлениями, упакованными в PyInstaller. Разработчики обновлений устанавливают постоянный PowerShell RAT, который проводит инвентаризацию хостов, включает удаленные команды/полезные нагрузки второго этапа и опрашивает C2 по протоколу HTTP с резервированием домена/IP. Акторы используют цепочки LOTL/инициируемые пользователем, извлекают данные, а затем шифруют (двойное вымогательство) с помощью шифраторов для Windows, Linux и виртуальных машин.
-----
Interlock (он же Nefarious Mantis) - это оппортунистический оператор программ-вымогателей, впервые обнаруженный в сентябре 2024 года и действующий в Северной Америке и Европе до 2025 года, нацеленный на образование, здравоохранение, технологии, правительство и другие секторы. В рекомендациях правоохранительных органов (CISA/ФБР) в середине 2025 года отмечалось обновление инструментария Interlock, включая шифровальщики как для Windows, так и для Linux и возможность шифрования виртуальных машин.
Первоначальный доступ обычно осуществляется через скомпрометированные веб‑сайты, служащие приманками социальной инженерии. Кампании обычно используют метод “ClickFix” (и аналогичный “FileFix”): жертвы перенаправляются на сайты, которые просят их “доказать, что они люди” (например, нажимать клавиши), что запускает загрузку/выполнение вредоносных двоичных файлов. Также используются поддельные программы обновления программного обеспечения, размещенные на скомпрометированных сайтах; эти программы обновления поставляются в комплекте с PyInstaller для имитации законных приложений (Chrome / Edge) и доставки полезной нагрузки при запуске.
При выполнении используется троян удаленного доступа на базе PowerShell (RAT), поставляемый этими установщиками обновлений. Бэкдор PowerShell постоянно работает в автономном режиме/без окон, перезапускаясь, чтобы избежать обнаружения пользователем. Он собирает обширные данные инвентаризации хостов, обеспечивает удаленное выполнение команд и вторичную доставку полезной нагрузки, а также реализует HTTP-опрос для управления с возможностью резервного копирования между доменами и IP-адресами.
Interlock использует методы "жизни за пределами земли" (LOTL) и инициируемые пользователем цепочки заражения, чтобы сочетать вредоносные действия с законной активностью, усложняя обнаружение конечных точек и сети. Их операции основаны на модели двойного вымогательства: эксфильтрация данных предшествует шифрованию, и жертвы, отказывающиеся от оплаты, публикуются на сайте утечки с метаданными (имя жертвы, количество украденных данных, количество файлов/папок и ссылка на сайт жертвы). В последних рекомендациях также сообщается о шифраторах Interlock, специально разработанных для работы в обоих типах ОС хоста и в виртуализированных средах.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Interlock (он же Nefarious Mantis), действующий с сентября 2024 года в NA/EU, использует скомпрометированные веб‑сайты с приманками социальной инженерии ClickFix /FileFix и поддельными обновлениями, упакованными в PyInstaller. Разработчики обновлений устанавливают постоянный PowerShell RAT, который проводит инвентаризацию хостов, включает удаленные команды/полезные нагрузки второго этапа и опрашивает C2 по протоколу HTTP с резервированием домена/IP. Акторы используют цепочки LOTL/инициируемые пользователем, извлекают данные, а затем шифруют (двойное вымогательство) с помощью шифраторов для Windows, Linux и виртуальных машин.
-----
Interlock (он же Nefarious Mantis) - это оппортунистический оператор программ-вымогателей, впервые обнаруженный в сентябре 2024 года и действующий в Северной Америке и Европе до 2025 года, нацеленный на образование, здравоохранение, технологии, правительство и другие секторы. В рекомендациях правоохранительных органов (CISA/ФБР) в середине 2025 года отмечалось обновление инструментария Interlock, включая шифровальщики как для Windows, так и для Linux и возможность шифрования виртуальных машин.
Первоначальный доступ обычно осуществляется через скомпрометированные веб‑сайты, служащие приманками социальной инженерии. Кампании обычно используют метод “ClickFix” (и аналогичный “FileFix”): жертвы перенаправляются на сайты, которые просят их “доказать, что они люди” (например, нажимать клавиши), что запускает загрузку/выполнение вредоносных двоичных файлов. Также используются поддельные программы обновления программного обеспечения, размещенные на скомпрометированных сайтах; эти программы обновления поставляются в комплекте с PyInstaller для имитации законных приложений (Chrome / Edge) и доставки полезной нагрузки при запуске.
При выполнении используется троян удаленного доступа на базе PowerShell (RAT), поставляемый этими установщиками обновлений. Бэкдор PowerShell постоянно работает в автономном режиме/без окон, перезапускаясь, чтобы избежать обнаружения пользователем. Он собирает обширные данные инвентаризации хостов, обеспечивает удаленное выполнение команд и вторичную доставку полезной нагрузки, а также реализует HTTP-опрос для управления с возможностью резервного копирования между доменами и IP-адресами.
Interlock использует методы "жизни за пределами земли" (LOTL) и инициируемые пользователем цепочки заражения, чтобы сочетать вредоносные действия с законной активностью, усложняя обнаружение конечных точек и сети. Их операции основаны на модели двойного вымогательства: эксфильтрация данных предшествует шифрованию, и жертвы, отказывающиеся от оплаты, публикуются на сайте утечки с метаданными (имя жертвы, количество украденных данных, количество файлов/папок и ссылка на сайт жертвы). В последних рекомендациях также сообщается о шифраторах Interlock, специально разработанных для работы в обоих типах ОС хоста и в виртуализированных средах.
#ParsedReport #CompletenessHigh
16-08-2025
Lazarus Stealer : Android Malware for Russian Bank Credential Theft Through Overlay and SMS Manipulation
https://www.cyfirma.com/research/lazarus-stealer-android-malware-for-russian-bank-credential-theft-through-overlay-and-sms-manipulation/
Report completeness: High
Threats:
Lazarus_stealer
Credential_harvesting_technique
Supply_chain_technique
Victims:
Banking users
Industry:
E-commerce, Entertainment, Financial
Geo:
Dprk, Russian
TTPs:
Tactics: 8
Technics: 17
IOCs:
File: 4
Domain: 1
Url: 6
IP: 7
Hash: 1
Soft:
Android, Telegram
Functions:
m1717s, m1718t, m1715q, RunnableC0131y, RunnableC0193J, m1711g, a, c, r, sendTextMessage, have more...
YARA: Found
16-08-2025
Lazarus Stealer : Android Malware for Russian Bank Credential Theft Through Overlay and SMS Manipulation
https://www.cyfirma.com/research/lazarus-stealer-android-malware-for-russian-bank-credential-theft-through-overlay-and-sms-manipulation/
Report completeness: High
Threats:
Lazarus_stealer
Credential_harvesting_technique
Supply_chain_technique
Victims:
Banking users
Industry:
E-commerce, Entertainment, Financial
Geo:
Dprk, Russian
TTPs:
Tactics: 8
Technics: 17
IOCs:
File: 4
Domain: 1
Url: 6
IP: 7
Hash: 1
Soft:
Android, Telegram
Functions:
m1717s, m1718t, m1715q, RunnableC0131y, RunnableC0193J, m1711g, a, c, r, sendTextMessage, have more...
YARA: Found
CYFIRMA
Lazarus Stealer : Android Malware for Russian Bank Credential Theft Through Overlay and SMS Manipulation - CYFIRMA
EXECUTIVE SUMMARY At CYFIRMA, we deliver actionable intelligence on emerging cyber threats impacting both individuals and organizations. This report analyzes...
CTT Report Hub
#ParsedReport #CompletenessHigh 16-08-2025 Lazarus Stealer : Android Malware for Russian Bank Credential Theft Through Overlay and SMS Manipulation https://www.cyfirma.com/research/lazarus-stealer-android-malware-for-russian-bank-credential-theft-through…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Lazarus Stealer - это банковский троян для Android (com.lazarus.app), нацеленный на SDK 26-34, который скрывает свой значок и запрашивает доступ к RECEIVE_SMS, draw-over и Usage. Он перехватывает SMS (экспортированный приемник + RoleManager) и использует постоянный SMSForwardService для фильтрации OTP; опрашивает UsageStats для обнаружения банковских приложений и развертывает наложения для захвата PIN-кодов / учетных данных. C2 - это HTTP к 193.151.108.33:1133, обменивающийся командами/метаданными в формате JSON; инфраструктура связана с русскоязычными панелями и идентификаторами Telegram.
-----
Lazarus Stealer - это банковский троян для Android, распространяемый в виде замаскированного приложения (GiftFlipSoft), зарегистрированного как com.lazarus.app (код версии/имя версии 307881), предназначенный для Android SDK 34 с минимальным SDK 26. Вредоносное ПО скрывает свой значок запуска и исключает себя из списка последних приложений, чтобы оставаться невидимым. Он запрашивает разрешения с высоким уровнем риска, включая RECEIVE_SMS, и программно принудительно запрашивает доступ к другим приложениям и доступ к использованию, чтобы включить наложения и мониторинг приложений.
Перехват SMS осуществляется с помощью экспортированного широковещательного приемника com.lazarus.app.SMSReceiver, зарегистрированного с максимальным приоритетом (2147483647), чтобы вытеснить законные приложения для обмена сообщениями. Вредоносное ПО включает логику для перехода к роли SMS устройства по умолчанию: m1717s() проверяет RoleManager (android.app.role.SMS) на Android 10+ или сравнивает системные значения по умолчанию в более старых версиях; m1718t() запрашивает роль через RoleManager.createRequestRoleIntent или передает ACTION_CHANGE_DEFAULT. SMSForwardService получает WakeLock и реализует ping-запросы с сохранением активности на C2, обеспечивая захват и эксфильтрацию OTP и других сообщений в режиме реального времени.
Мониторинг приложений использует ежесекундный опрос UsageStatsManager (RunnableC0193J) для захвата переходов переднего плана и имен пакетов. При обнаружении целевого банковского пакета вредоносное ПО запускает мошенническое наложение (m1711g()), имитирующее пользовательский интерфейс ввода PIN-кода банка (пример шаблона пакета ru.____.mobilebanking.android) для сбора PIN-кодов, номеров карт, паролей и других учетных данных. Обработчик (RunnableC0131y()) принудительно выполняет запросы разрешений и запускает службы на основе внутренних флагов.
Эксфильтрация и обработка C2 основаны на протоколе HTTP. SMSForwardService.a() отправляет JSON в http://193.151.108.33:1133/check_version (порт 1133), отправляя версию вредоносного ПО и получая ответы в формате JSON, содержащие идентификатор оператора (имя пользователя, вероятно, дескриптор Telegram). Ответы анализируются с помощью b(...), который проверяет поле ok и извлекает массив команд в объекты, пригодные для действия; вредоносное ПО повторно запрашивает /get_commands и отправляет метаданные устройства (идентификатор пользователя, версия Android, версия APK, модель). Постоянные уведомления используются для того, чтобы службы оставались на переднем плане.
Анализ инфраструктуры связывает несколько Панелей управления на сервере.HOST GROUP LTD, в первую очередь русскоязычные панели и связанные с ними профили Telegram с указанием русскоязычного оператора. Архитектура C2 и обработка команд обеспечивают непрерывный сбор данных и удаленное выполнение задач.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Lazarus Stealer - это банковский троян для Android (com.lazarus.app), нацеленный на SDK 26-34, который скрывает свой значок и запрашивает доступ к RECEIVE_SMS, draw-over и Usage. Он перехватывает SMS (экспортированный приемник + RoleManager) и использует постоянный SMSForwardService для фильтрации OTP; опрашивает UsageStats для обнаружения банковских приложений и развертывает наложения для захвата PIN-кодов / учетных данных. C2 - это HTTP к 193.151.108.33:1133, обменивающийся командами/метаданными в формате JSON; инфраструктура связана с русскоязычными панелями и идентификаторами Telegram.
-----
Lazarus Stealer - это банковский троян для Android, распространяемый в виде замаскированного приложения (GiftFlipSoft), зарегистрированного как com.lazarus.app (код версии/имя версии 307881), предназначенный для Android SDK 34 с минимальным SDK 26. Вредоносное ПО скрывает свой значок запуска и исключает себя из списка последних приложений, чтобы оставаться невидимым. Он запрашивает разрешения с высоким уровнем риска, включая RECEIVE_SMS, и программно принудительно запрашивает доступ к другим приложениям и доступ к использованию, чтобы включить наложения и мониторинг приложений.
Перехват SMS осуществляется с помощью экспортированного широковещательного приемника com.lazarus.app.SMSReceiver, зарегистрированного с максимальным приоритетом (2147483647), чтобы вытеснить законные приложения для обмена сообщениями. Вредоносное ПО включает логику для перехода к роли SMS устройства по умолчанию: m1717s() проверяет RoleManager (android.app.role.SMS) на Android 10+ или сравнивает системные значения по умолчанию в более старых версиях; m1718t() запрашивает роль через RoleManager.createRequestRoleIntent или передает ACTION_CHANGE_DEFAULT. SMSForwardService получает WakeLock и реализует ping-запросы с сохранением активности на C2, обеспечивая захват и эксфильтрацию OTP и других сообщений в режиме реального времени.
Мониторинг приложений использует ежесекундный опрос UsageStatsManager (RunnableC0193J) для захвата переходов переднего плана и имен пакетов. При обнаружении целевого банковского пакета вредоносное ПО запускает мошенническое наложение (m1711g()), имитирующее пользовательский интерфейс ввода PIN-кода банка (пример шаблона пакета ru.____.mobilebanking.android) для сбора PIN-кодов, номеров карт, паролей и других учетных данных. Обработчик (RunnableC0131y()) принудительно выполняет запросы разрешений и запускает службы на основе внутренних флагов.
Эксфильтрация и обработка C2 основаны на протоколе HTTP. SMSForwardService.a() отправляет JSON в http://193.151.108.33:1133/check_version (порт 1133), отправляя версию вредоносного ПО и получая ответы в формате JSON, содержащие идентификатор оператора (имя пользователя, вероятно, дескриптор Telegram). Ответы анализируются с помощью b(...), который проверяет поле ok и извлекает массив команд в объекты, пригодные для действия; вредоносное ПО повторно запрашивает /get_commands и отправляет метаданные устройства (идентификатор пользователя, версия Android, версия APK, модель). Постоянные уведомления используются для того, чтобы службы оставались на переднем плане.
Анализ инфраструктуры связывает несколько Панелей управления на сервере.HOST GROUP LTD, в первую очередь русскоязычные панели и связанные с ними профили Telegram с указанием русскоязычного оператора. Архитектура C2 и обработка команд обеспечивают непрерывный сбор данных и удаленное выполнение задач.
#ParsedReport #CompletenessMedium
14-08-2025
Hunt.io Exposes and Analyzes ERMAC V3.0 Banking Trojan Full Source Code Leak
https://hunt.io/blog/ermac-v3-banking-trojan-source-code-leak
Report completeness: Medium
Threats:
Ermac
Cerberus
Victims:
Banking users, Shopping app users, Financial app users, Cryptocurrency app users
Industry:
Financial
Geo:
Russian
TTPs:
Tactics: 9
Technics: 0
IOCs:
IP: 17
File: 2
Hash: 2
Soft:
Laravel, Android, Docker, Gmail, Google Play
Algorithms:
base64, aes, aes-cbc
Languages:
golang, javascript, kotlin, php
Platforms:
intel
YARA: Found
Links:
14-08-2025
Hunt.io Exposes and Analyzes ERMAC V3.0 Banking Trojan Full Source Code Leak
https://hunt.io/blog/ermac-v3-banking-trojan-source-code-leak
Report completeness: Medium
Threats:
Ermac
Cerberus
Victims:
Banking users, Shopping app users, Financial app users, Cryptocurrency app users
Industry:
Financial
Geo:
Russian
TTPs:
Tactics: 9
Technics: 0
IOCs:
IP: 17
File: 2
Hash: 2
Soft:
Laravel, Android, Docker, Gmail, Google Play
Algorithms:
base64, aes, aes-cbc
Languages:
golang, javascript, kotlin, php
Platforms:
intel
YARA: Found
Links:
https://github.com/ClaudiuGeorgiu/Obfuscapkhunt.io
ERMAC V3.0 Banking Trojan: Full Source Code Leak and Infrastructure Analysis
Hunt.io uncovers the complete ERMAC V3.0 source code, revealing its infrastructure, vulnerabilities, and expanded form injection capabilities.