#ParsedReport #CompletenessMedium
12-09-2025

Yurei & The Ghost of Open Source Ransomware

https://research.checkpoint.com/2025/yurei-the-ghost-of-open-source-ransomware/

Report completeness: Medium

Threats:
Yurei
Prince_ransomware
Shadow_copies_delete_technique
Crazyhunter_ransomware
Satanlock

Victims:
Food manufacturing

Industry:
Financial, Foodtech

Geo:
Morocco, India, Nigeria, Japanese

ChatGPT TTPs:
do not use without manual check
T1005, T1041, T1190, T1486, T1490, T1583.006

IOCs:
File: 2
Path: 1
Domain: 1
Hash: 9
Url: 2

Wallets:
harmony_wallet

Algorithms:
chacha20

Languages:
powershell

Links:
https://github.com/oakkaya/Prince-Ransomware/tree/main/Encryptor
https://github.com/oakkaya/Prince-Ransomware

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Yurei - это группа программ-вымогателей, которая использует метод двойного вымогательства, нацеливаясь на корпоративную инфраструктуру путем шифрования и эксфильтрации конфиденциальных данных. Он использует модифицированную версию Prince-Ransomware с открытым исходным кодом, шифрующую файлы с помощью алгоритма ChaCha20 и добавляющую ".Расширение "Yurei", но ему не хватает сильных функций антианализа. Заметной уязвимостью в работе Yurei является ее неспособность удалять Shadow Copies, что позволяет жертвам потенциально восстанавливать файлы, подчеркивая тенденцию групп вымогателей к краже данных с целью вымогательства.
-----

Yurei - это недавно выявленная группа программ-вымогателей, которая применила модель двойного вымогательства, в первую очередь нацеливаясь на корпоративную инфраструктуру путем шифрования файлов и эксфильтрации конфиденциальных данных, прежде чем требовать выкуп за расшифровку. О деятельности группы впервые стало известно 5 сентября 2023 года, причем ее первой жертвой стала компания по производству продуктов питания в Шри-Ланке. Программа-вымогатель, используемая Yurei, является производной от Prince-Ransomware с открытым исходным кодом, использующей язык программирования Go лишь с незначительными изменениями. Эта ситуация подчеркивает важную тенденцию в киберпреступности, когда вредоносное ПО с открытым исходным кодом облегчает менее квалифицированным акторам участие в атаках с использованием программ-вымогателей.

Программа-вымогатель Yurei шифрует файлы с использованием алгоритма ChaCha20 и добавляет ".Расширение "Yurei" для затронутых файлов. В процессе шифрования используется уникальный подход, заключающийся в том, что он генерирует случайный ключ ChaCha20 и одноразовый номер для каждого файла, которые затем шифруются с помощью ECIES (интегрированная схема шифрования с эллиптической кривой) с использованием открытого ключа злоумышленника. Несмотря на внесенные изменения в исходный код Prince-Ransomware, в реализации Yurei отсутствуют надежные функции антианализа или запутывания, что делает ее работу более уязвимой для обнаружения.

Одной из критических уязвимостей в коде Yurei является невозможность удаления существующих Shadow Copy, созданных службой Shadow Copy томов Windows (VSS). Этот недосмотр допускает потенциальное восстановление файлов в средах, где включена функция VSS, предоставляя жертвам значительную возможность восстановить данные без уплаты выкупа. По мере того, как группа Yurei расширяет свои операции — сообщается, что в общей сложности жертвами уже стали три человека, — для организаций становится первостепенной необходимостью усилить свои меры по кибербезопасности.

Тактика группы также включает в себя угрозы для поддержания давления на жертв, включая удаление ключей дешифрования в случае невыполнения условий и публичное раскрытие конфиденциальных данных. Эта стратегия вымогательства подчеркивает важность защиты конфиденциальных данных и подчеркивает растущую тенденцию операций программ-вымогателей, ориентирующихся на методы вымогательства, основанные на краже данных.

Расследования происхождения хакерской группировки предполагают возможную связь с Марокко. Использование Yurei таких платформ, как VirusTotal, для тестирования показателей обнаружения указывает на низкий уровень квалификации ее операторов, поскольку они пытаются оценить эффективность своего вредоносного ПО перед развертыванием. В целом, появление программы-вымогателя Yurei отражает эволюционирующий ландшафт киберугроз, где низкие барьеры для проникновения дают новой волне киберпреступников значительные возможности.

#ParsedReport #CompletenessLow
11-09-2025

Fake Bureau of Motor Vehicles texts are after your personal and banking details

https://www.malwarebytes.com/blog/news/2025/09/fake-bureau-motor-vehicles-texts-are-after-your-personal-and-banking-details

Report completeness: Low

Victims:
Individuals, Drivers, Residents

Industry:
Government, Transport, Financial

ChatGPT TTPs:
do not use without manual check
T1036, T1204, T1566

IOCs:
Url: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Мошеннические текстовые сообщения, выдающие себя за Бюро автотранспортных средств штата Огайо, предназначены для сбора личной и банковской информации. В этих мошеннических сообщениях присутствуют такие тревожные сигналы, как грамматические ошибки, фиктивные юридические коды и ложное представление о срочности платежей, а также ссылки для немедленных действий, которые законные органы не стали бы использовать. В сообщениях отсутствует персонализация, что контрастирует с аутентичными сообщениями и вызывает подозрения у получателей.
-----

В последнее время появились случаи мошенничества, когда мошеннические текстовые сообщения, Маскировка под сообщение от Бюро автотранспортных средств штата Огайо (BMV), направлены на получение личной и банковской информации от получателей. Департамент общественной безопасности штата Огайо уже выпустил предупреждения относительно этой аферы, подчеркнув ее распространенность и изощренность. В сообщениях присутствуют различные красные флажки, указывающие на их нелегитимность. Примечательно, что тексты содержат орфографические и грамматические ошибки, включая неправильное форматирование дат, что часто вызывает подозрения. Кроме того, они создают ложное ощущение срочности, требуя выплат в течение дня или двух, сопровождая их преувеличенными угрозами о потенциальном воздействии на кредитные баллы за неоплаченные нарушения.

В текстах часто цитируются вымышленные правовые нормы, такие как "Административный кодекс штата Огайо 15С-16.003", которых нет в действующем законодательстве штата Огайо о транспортных средствах BMV. В официальных правительственных сообщениях обычно используются точные ссылки и правовые рамки. Другим тревожным аспектом является наличие сомнительных платежных ссылок, призывающих к немедленным действиям; настоящие агентства воздерживаются от отправки срочных платежных запросов посредством текстовых сообщений. Наконец, для таких мошенников характерны расплывчатые или неперсонифицированные сообщения, что резко контрастирует с подлинными сообщениями, в которых получатели часто обращаются к своим официальным именам.

Чтобы снизить риски, связанные с подобными мошенничествами, частным лицам рекомендуется немедленно принять меры, изменив пароли для любых потенциально скомпрометированных учетных записей. Крайне важно проинформировать банки или финансовые учреждения об инциденте, чтобы они могли принять защитные меры, такие как замораживание счетов или мониторинг подозрительных действий. Кроме того, рекомендуется направить уведомление о мошенничестве или замораживании кредита в три основных кредитных бюро, что усложняет работу мошенников, пытающихся создать новые учетные записи на имя жертвы. В случаях подтвержденной кражи личных данных гражданам США рекомендуется сообщать об инцидентах в Федеральную торговую комиссию посредством identitytheft.gov. В целом, для защиты личной информации и финансового благополучия необходимо проявлять бдительность в отношении подобных тактик обмана.

#ParsedReport #CompletenessLow
12-09-2025

NightMARE on 0xelm Street, a guidedtour

https://www.elastic.co/security-labs/nightmare-on-0xelm-street

Report completeness: Low

Threats:
Lumma_stealer
Blister
Ghostpulse
Latrodectus
Lobshot
Netwire_rat
Redline_stealer
Remcos_rat
Smokeloader
Stealc
Strela_stealer
Xorddos

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1140

IOCs:
File: 3
Hash: 1
Url: 9

Soft:
Steam, Qiling

Algorithms:
chacha20

Functions:
Emulate, ChaCha20

Languages:
python

Links:
https://github.com/elastic/nightMARE
have more...
https://github.com/capstone-engine/capstone
https://github.com/lief-project/LIEF

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В статье обсуждается nightMARE, библиотека анализа вредоносного ПО на основе Python, разработанная Elastic Security Labs, предназначенная для улучшения обратного проектирования с помощью различных интегрированных модулей для статического и динамического анализа. В нем демонстрируется LUMMA STEALER, вредоносное ПО, использующее запутывание потока управления и шифрование ChaCha20, что усложняет анализ. Используя nightMARE, исследователи могут успешно расшифровывать информацию сервера C2 из вредоносного ПО, облегчая извлечение информации из сложных конфигураций.
-----

В статье представлена библиотека nightMARE на основе Python, разработанная Elastic Security Labs с целью облегчения анализа и исследования вредоносного ПО. nightMARE объединяет различные функции для обратного проектирования и анализа вредоносного ПО, позволяя создавать средства извлечения конфигурации, адаптированные к нескольким семействам вредоносного ПО. Он синтезирует многочисленные модули Python, такие как LIEF для разбора исполняемых форматов (PE, ELF), Capstone для дизассемблирования и SMDA для анализа перекрестных ссылок, для расширения возможностей статического анализа.

Организованный в отдельные модули, nightMARE включает в себя модуль "анализ" для статического исследования, модуль "ядро", содержащий основные подмодули для побитовых операций и функций регулярных выражений, и модуль "вредоносное ПО", который содержит конкретные алгоритмы для таких задач, как обработка криптографических функций и извлечение конфигурации, относящиеся к различным семействам вредоносных ПО. Библиотека в некоторой степени поддерживает динамический анализ благодаря возможности легкой эмуляции PE, специально разработанной для выполнения фрагментов кода без полной эмуляции Windows.

В статье рассматривается LUMMA STEALER, также называемый LUMMAC2, в качестве примера демонстрации функциональности библиотеки. LUMMA STEALER характеризуется использованием обфускации потока управления и шифрования данных, что усложняет как статический, так и динамический анализ. Вредоносное ПО использует криптографический контекст ChaCha20, инициализируемый при загрузке определенной библиотеки DLL, где процесс дешифрования эффективно использует этот контекст повторно при вызовах функций. Анализ включает в себя поиск функции дешифрования и идентификацию базового адреса зашифрованного домена с помощью обратного проектирования, за которым следует расшифровка домена с использованием возможностей эмуляции библиотеки.

Библиотека демонстрирует процесс использования nightMARE, приводящий к успешной расшифровке информации сервера command and control (C2), хранящейся в вредоносном ПО. С помощью практических примеров и структурированного подхода nightMARE демонстрирует свой потенциал в качестве полезного ресурса для исследователей вредоносного ПО, занимающихся извлечением интеллектуальных показателей из сложных и запутанных конфигураций вредоносного ПО.

#ParsedReport #CompletenessHigh
12-09-2025

Head Mare in the Wild: Backdoor Chain and SSH Tunnel to Penetrate Infrastructure

https://securelist.ru/head-mare-new-phantom-backdoors-and-ssh-tunneling/113473/

Report completeness: High

Actors/Campaigns:
Head_mare (motivation: hacktivism)

Threats:
Phantomremote
Polyglot_technique
Phantomcsloader
Phantomsagent
Spear-phishing_technique
Phantompsupload

Industry:
Logistic

Geo:
Russian, Belarus

TTPs:
Tactics: 1
Technics: 10

IOCs:
IP: 8
Path: 6
File: 11
Command: 3
Url: 6
Hash: 14

Soft:
Microsoft Excel, Windows SSH

Algorithms:
zip

Functions:
WriteAllBytes, ReadAllBytes, DllentryPoint, InternetTgetConNETEDATATE, taskName, taskAction, taskTrigger, taskSettings, GetString, GetEncoding, have more...

Win API:
Getcomputernamew

Win Services:
WebClient

Languages:
powershell, python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В конце июня - начале июля группа Head Mare проводила кампании фишинга, нацеленные на клиентов с электронными письмами, содержащими бэкдор PhantomRemote, используя polyglot file для обфускации вредоносного ПО. После выполнения с помощью скрипта PowerShell PhantomRemote установил подключение к командному серверу, в то время как злоумышленники также развернули несколько бэкдоров, таких как PhantomCSLoader и PhantomPSUpload, что позволило удаленно выполнять команды и эксфильтрацию данных. Операция демонстрирует передовые методы, такие как обратное туннелирование по SSH и использование сетевых конфигураций для повышения закрепления и сбора разведывательной информации в скомпрометированных средах.
-----

В конце июня - начале июля была замечена серия электронных писем с фишингом, содержащих вредоносное вложение, известное как бэкдор PhantomRemote, предназначенный для различных клиентов. Тактика, применяемая для обфускации вредоносного ПО, заключалась в использовании polyglot file, который позволяет комбинировать несколько форматов файлов без потери функциональности. Этот метод способствовал сокрытию бэкдора, который запускается при взаимодействии со скриптом PowerShell, устанавливающим соединение с командным сервером для получения команд для выполнения на зараженном хосте. Эта операция подпадает под действие MITRE ATT&CK framework с T1566.001, в котором подчеркивается использование фишинга с помощью Целевого фишинга с вложениями в качестве метода первоначального доступа.

PhantomRemote, созданный с использованием Visual C++, включает в себя функциональность для удаленного выполнения команд и экспортирует две функции, имеющие решающее значение для его работы. После заражения хоста вредоносное ПО собирает информацию о системе и ее сетевых конфигурациях, используя T1016, который относится к Изучению конфигурации сети. Дальнейшая сложность цепочки атак очевидна, поскольку операторы используют другой бэкдор, PhantomCSLoader, созданный на C#, что сигнализирует о многоуровневом подходе к закреплению в скомпрометированных средах.

В дополнение к возможностям бэкдора злоумышленники развернули обратный SSH-туннель, классифицированный как T1572 для Туннелирования протокола, для поддержания доступа и потенциального обхода механизмов обнаружения. Более того, был обнаружен бэкдор PhantomPSUpload, который использует скрипты PowerShell для передачи конфиденциальных данных из систем-жертв в облачную инфраструктуру злоумышленников, подчеркивая двойной подход: консолидация доступа при одновременной фильтрации ценной информации.

Группа Head Mare считается злоумышленником, стоящим за этими операциями, демонстрируя модель непрерывной эволюции инструментов и сценариев атак, направленных на использование уязвимостей в целевых системах. В этой кампании использовалось несколько типов бэкдоров, включая новые версии PhantomRemote и дополнительные экземпляры PhantomCSLoader и PhantomSAgent, написанные на различных языках программирования. Группа, по-видимому, использует общие цели между подгруппами, сохраняя при этом четкие операционные характеристики. В целом, обнаруженные действия иллюстрируют стратегическое усовершенствование их инструментария, направленное на улучшение проникновения и закрепления в скомпрометированных сетях, подчеркивая необходимость надежных стратегий обнаружения и реагирования на такие многогранные угрозы.

#ParsedReport #CompletenessMedium
12-09-2025

Deconstructing a Cyber Deception: An Analysis of the Clickfix HijackLoader Phishing Campaign

https://www.seqrite.com/blog/deconstructing-a-cyber-deception-an-analysis-of-the-clickfix-hijackloader-phishing-campaign/

Report completeness: Medium

Actors/Campaigns:
Tag-150

Threats:
Clickfix_technique
Hijackloader
Seo_poisoning_technique
Deerstealer
Castleloader
Castlebot
Process_doppelganging_technique
Pe_injection_technique
Nekostealer
Lumma_stealer
Spear-phishing_technique
Process_injection_technique

TTPs:
Tactics: 7
Technics: 17

IOCs:
File: 5
Url: 3
Hash: 10
IP: 2
Domain: 1

Soft:
VirtualBox

Algorithms:
base64, xor

Win Services:
WebClient

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 4, code: 9

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания фишинга Clickfix HijackLoader освещает эволюцию киберугроз, уделяя особое внимание загрузчикам атак, предназначенным для обхода мер безопасности и закрепления в скомпрометированных системах. Эти загрузчики позволяют внедрять усовершенствованное вредоносное ПО, используя уязвимости в системах безопасности организации, сохраняя при этом скрытность, чтобы избежать обнаружения. Кампания знаменует собой изменение векторов угроз, подчеркивая необходимость более глубокого понимания и анализа поведения загрузчиков в области кибербезопасности.
-----

Кампания фишинга с помощью Clickfix HijackLoader иллюстрирует эволюционирующую природу киберугроз, подчеркивая критическую роль загрузчиков атак в содействии вредоносным операциям. В отличие от традиционного вредоносного ПО, которое служит лишь конечной полезной нагрузкой, загрузчики, такие как Clickfix, специально разработаны для обхода мер безопасности, обеспечения закрепления в скомпрометированных системах и создания благоприятных условий для запуска более совершенного вредоносного ПО. Они представляют собой сложную точку входа, что вызывает повышенную озабоченность специалистов по кибербезопасности, поскольку эти загрузчики играют ключевую роль в установлении первоначального доступа к целевым сетям.

Функциональный дизайн Clickfix позволяет ему эффективно развертывать дополнительные вредоносные программы, сохраняя при этом скрытность, чтобы избежать обнаружения. Эти загрузчики атак стратегически разработаны для использования уязвимостей в системе безопасности организации, адаптируясь для обхода средств защиты. Сосредоточившись на нюансах поведения загрузчиков, аналитики могут лучше понять их методы уклонения и закрепления, которые имеют решающее значение для общей картины угроз.

Эта кампания иллюстрирует необходимость бдительности и постоянного анализа таких методов, поскольку последствия скомпрометированной среды могут быть серьезными. Акцент на загрузчиках атак, таких как Clickfix, показывает изменение векторов угроз и подчеркивает необходимость усовершенствованных стратегий обнаружения и упреждающих защитных мер в рамках операций по кибербезопасности.

#ParsedReport #CompletenessLow
12-09-2025

Sidewinder APT leverages Nepal protests to push mobile malware

https://strikeready.com/blog/sidewinder-apt-leverages-nepal-protests-to-push-mobile-malware/

Report completeness: Low

Actors/Campaigns:
Sidewinder (motivation: information_theft)

Victims:
Mobile users interested in nepal protests

Industry:
Government

Geo:
Nepal

ChatGPT TTPs:
do not use without manual check
T1204, T1566

IOCs:
Domain: 2
Path: 1
IP: 1
Hash: 3

Soft:
Android

Languages:
php

Links:
https://github.com/StrikeReady-Inc/research/tree/main/2025-09-10%20sidewinder%20targets%20nepal

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Sidewinder использует сложную целенаправленную атаку на продолжающиеся протесты в Непале для распространения вредоносного ПО для мобильных устройств, используя беспорядки в качестве приманки для социальной инженерии. Эта стратегия нацелена на людей, которые ищут информацию о протестах, извлекая выгоду из политически напряженной обстановки. Акцент на мобильном вредоносном ПО подчеркивает повышенный риск для пользователей, особенно в регионах, сталкивающихся с социально-политическими потрясениями, поскольку злоумышленники адаптируют свои методы для использования событий реального мира.
-----

Sidewinder, сложная целенаправленная атака, адаптировала свою тактику для использования продолжающихся протестов в Непале, используя беспорядки в качестве вектора распространения вредоносного ПО для мобильных устройств. Поскольку эта геополитическая ситуация развивается после запрета Социальных сетей и обвинений в коррупции в правительстве, злоумышленник использует общественный интерес к этим событиям, чтобы нацелиться на конкретных пользователей.

Стратегия группы по проведению сложных целенаправленных атак предполагает использование протестов в качестве приманки социальной инженерии для распространения вредоносного ПО, направленного на заражение мобильных устройств людей, которые могут запрашивать информацию о протестах. Эта тактика подчеркивает сохраняющуюся тенденцию, когда хакерские группировки используют события реального мира, чтобы склонить жертв к использованию вредоносного контента. Сочетание политически напряженной atmosphere и социальных потрясений создает благодатную почву для таких целенаправленных нападений.

Акцент на мобильном вредоносном ПО особенно примечателен, учитывая распространенность использования мобильных устройств среди протестующих и тех, кто стремится быть в курсе событий. Приспосабливая свой подход к контексту протестов, Sidewinder сложная целенаправленная атака является примером стратегической модификации методов для повышения вероятности успешного проникновения в целевую демографическую группу. Это изменение фокуса подчеркивает необходимость повышения бдительности пользователей, особенно в регионах, переживающих социально-политические потрясения, поскольку они могут столкнуться с угрозами, заложенными в кажущихся безобидными сообщениях, связанных с текущими событиями.

#ParsedReport #CompletenessLow
13-09-2025

Echoleak- Send a prompt , extract secret from Copilot AI!( CVE-2025-32711)

https://www.seqrite.com/blog/echoleak-send-a-prompt-extract-secret-from-copilot-ai-cve-2025-32711/

Report completeness: Low

Threats:
Echoleak_vuln

Victims:
Microsoft 365 copilot users

CVEs:
CVE-2025-32711 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


Soft:
Microsoft Office, Outlook

Algorithms:
base64

#ParsedReport #GeneratedSchema
Generated with GPT-4