#ParsedReport #CompletenessLow
11-11-2025
North Korean hackers rely on Google to locate and find opportunities, and remotely destroy the core data of the target's phone after stealing the secret.
https://www.secrss.com/articles/84887
Report completeness: Low
Actors/Campaigns:
Scarcruft
Kimsuky
Forumtroll
Threats:
Spear-phishing_technique
Victims:
Android smartphone users
Geo:
North korean
ChatGPT TTPs:
T1446, T1566
Soft:
Android, KakaoTalk, Gmail
Win API:
IoKlTr
Languages:
autoit
11-11-2025
North Korean hackers rely on Google to locate and find opportunities, and remotely destroy the core data of the target's phone after stealing the secret.
https://www.secrss.com/articles/84887
Report completeness: Low
Actors/Campaigns:
Scarcruft
Kimsuky
Forumtroll
Threats:
Spear-phishing_technique
Victims:
Android smartphone users
Geo:
North korean
ChatGPT TTPs:
do not use without manual checkT1446, T1566
Soft:
Android, KakaoTalk, Gmail
Win API:
IoKlTr
Languages:
autoit
Secrss
朝鲜黑客靠谷歌定位找时机,窃密后远程摧毁目标手机核心数据
朝鲜黑客组织通过精准定位与钓鱼诈骗结合的方式,远程操控并重置安卓智能手机,造成用户核心数据丢失,达成破坏性攻击目的。
CTT Report Hub
#ParsedReport #CompletenessLow 11-11-2025 North Korean hackers rely on Google to locate and find opportunities, and remotely destroy the core data of the target's phone after stealing the secret. https://www.secrss.com/articles/84887 Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Северокорейские хакеры разработали новую тактику APT, позволяющую им удаленно манипулировать смартфонами Android и перезагружать их с помощью точной геолокации и фишинга. Первоначально собирая критическую информацию с помощью фишинга, они используют уязвимости для удаленной очистки устройства, что приводит к значительной потере данных. Этот метод свидетельствует о тревожной тенденции в области киберугроз, сочетающей традиционную социальную инженерию с передовыми технологическими манипуляциями для эффективного воздействия на жертв.
-----
Недавние результаты, полученные от иностранной охранной фирмы, свидетельствуют о новой тактике использования северокорейскими хакерами сложных целенаправленных угроз (APT). Эта группа разработала метод удаленного управления Android-смартфонами и их сброса. Используя комбинацию методов точной геолокации и фишингов-мошенничества, хакеры могут эффективно воздействовать на пользователей.
Как только цель идентифицирована, хакеры начинают свою атаку, сначала получая критическую информацию с помощью попыток фишинга. Такой подход позволяет им использовать уязвимости или слабые места в мобильном устройстве цели. После успешного проникновения злоумышленники могут выполнить удаленную очистку устройства, что приведет к значительной потере данных жертвой. Намерение, стоящее за этими действиями, по-видимому, направлено на нанесение разрушительного удара, удаление основных данных с целевых телефонов для достижения своих целей.
Этот метод иллюстрирует тревожную тенденцию в области киберугроз, когда традиционная тактика социальной инженерии дополняется технологическими манипуляциями. Полагаясь на такие инструменты и сервисы, как Google, для точного отслеживания местоположения, эти злоумышленники могут увеличить свои шансы на успешное взаимодействие с выбранными целями. Последствия этих атак подчеркивают важность защиты персональных устройств и бдительности в отношении попыток фишинга, особенно для тех, кто может подвергаться более высокому риску стать мишенью киберпреступников, спонсируемых государством.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Северокорейские хакеры разработали новую тактику APT, позволяющую им удаленно манипулировать смартфонами Android и перезагружать их с помощью точной геолокации и фишинга. Первоначально собирая критическую информацию с помощью фишинга, они используют уязвимости для удаленной очистки устройства, что приводит к значительной потере данных. Этот метод свидетельствует о тревожной тенденции в области киберугроз, сочетающей традиционную социальную инженерию с передовыми технологическими манипуляциями для эффективного воздействия на жертв.
-----
Недавние результаты, полученные от иностранной охранной фирмы, свидетельствуют о новой тактике использования северокорейскими хакерами сложных целенаправленных угроз (APT). Эта группа разработала метод удаленного управления Android-смартфонами и их сброса. Используя комбинацию методов точной геолокации и фишингов-мошенничества, хакеры могут эффективно воздействовать на пользователей.
Как только цель идентифицирована, хакеры начинают свою атаку, сначала получая критическую информацию с помощью попыток фишинга. Такой подход позволяет им использовать уязвимости или слабые места в мобильном устройстве цели. После успешного проникновения злоумышленники могут выполнить удаленную очистку устройства, что приведет к значительной потере данных жертвой. Намерение, стоящее за этими действиями, по-видимому, направлено на нанесение разрушительного удара, удаление основных данных с целевых телефонов для достижения своих целей.
Этот метод иллюстрирует тревожную тенденцию в области киберугроз, когда традиционная тактика социальной инженерии дополняется технологическими манипуляциями. Полагаясь на такие инструменты и сервисы, как Google, для точного отслеживания местоположения, эти злоумышленники могут увеличить свои шансы на успешное взаимодействие с выбранными целями. Последствия этих атак подчеркивают важность защиты персональных устройств и бдительности в отношении попыток фишинга, особенно для тех, кто может подвергаться более высокому риску стать мишенью киберпреступников, спонсируемых государством.
#ParsedReport #CompletenessLow
11-11-2025
Analysis of the Yurei ransomware's Go-based builder encryption structure.
https://asec.ahnlab.com/ko/90933/
Report completeness: Low
Threats:
Yurei
Ransom/mdp.event.m1785
Ransom/mdp.decoy.m1171
Ransom/mdp.event.m1875
Ransomware/win.yureicrypt.r721068
Ransomware/win.yureicrypt.r721188
Prince_ransomware
Industry:
Foodtech, Transport, Logistic
Geo:
Nigeria, Sri lanka
ChatGPT TTPs:
T1083, T1486, T1490
IOCs:
File: 1
Soft:
nuget, vscode
Algorithms:
md5, chacha20-poly1305, ecdh, aes-gcm
Languages:
dotnet
Platforms:
intel, x86
11-11-2025
Analysis of the Yurei ransomware's Go-based builder encryption structure.
https://asec.ahnlab.com/ko/90933/
Report completeness: Low
Threats:
Yurei
Ransom/mdp.event.m1785
Ransom/mdp.decoy.m1171
Ransom/mdp.event.m1875
Ransomware/win.yureicrypt.r721068
Ransomware/win.yureicrypt.r721188
Prince_ransomware
Industry:
Foodtech, Transport, Logistic
Geo:
Nigeria, Sri lanka
ChatGPT TTPs:
do not use without manual checkT1083, T1486, T1490
IOCs:
File: 1
Soft:
nuget, vscode
Algorithms:
md5, chacha20-poly1305, ecdh, aes-gcm
Languages:
dotnet
Platforms:
intel, x86
ASEC
Yurei 랜섬웨어 Go 기반 빌더 암호화 구조 분석 - ASEC
Yurei 랜섬웨어 Go 기반 빌더 암호화 구조 분석 ASEC
CTT Report Hub
#ParsedReport #CompletenessLow 11-11-2025 Analysis of the Yurei ransomware's Go-based builder encryption structure. https://asec.ahnlab.com/ko/90933/ Report completeness: Low Threats: Yurei Ransom/mdp.event.m1785 Ransom/mdp.decoy.m1171 Ransom/mdp.event.m1875…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Yurei - это новая группа программ-вымогателей, использующая классическую модель программ-вымогателей с тактикой двойного вымогательства, нацеленную на корпоративные сети, шифрование данных и удаление резервных копий. Он построен с использованием языка программирования Go и использует уникальный процесс шифрования, идентифицирующий файлы без стандартных процедур, и использует алгоритм ChaCha20-Poly1305 с 32-байтовым ключом и 24-байтовым одноразовым номером, которые дополнительно защищены с помощью шифрования secp256k1-ECIES. Это усложняет процесс расшифровки, усиливая угрозу для затронутых организаций.
-----
Yurei - это недавно выявленная группа программ-вымогателей, которая появилась в начале сентября 2025 года и использует классическую модель программ-вымогателей, проникая в корпоративные сети, шифруя данные, удаляя резервные копии и требуя выкуп с помощью тактики двойного вымогательства. До сих пор не было никаких признаков модели "Программа-вымогатель как услуга" (RaaS) или сотрудничества с другими группами, а также свидетельств ребрендинга существующих Ransomware. Общение с жертвами осуществляется через специализированные платформы Dark Web.
Yurei ransomware создана с использованием языка программирования Go и имеет уникальный механизм шифрования. В отличие от традиционных программ-вымогателей, Yurei не инициирует процесс шифрования с помощью стандартных процедур, таких как изменение разрешений, установка значений аргументов или создание мьютексов. Вместо этого он быстро готовится к шифрованию, собирая информацию о диске из своей среды выполнения и запуская процедуру поиска файлов для шифрования по всем путям к диску.
Для шифрования Yurei использует алгоритм ChaCha20-Poly1305, генерирующий случайный 32-байтовый ключ и 24-байтовый одноразовый номер. Эти компоненты имеют решающее значение для процесса шифрования, поскольку они обеспечивают безопасное шифрование файлов. Как только целевые файлы идентифицированы, Yurei выполняет свою процедуру шифрования, используя сгенерированный ключ и одноразовый номер. Кроме того, для повышения безопасности ключа и одноразового номера они шифруются с использованием метода secp256k1-ECIES со встроенным открытым ключом, что делает их доступными для извлечения только злоумышленником, обладающим соответствующим закрытым ключом. Такой криптографический подход повышает сложность расшифровки файлов без вмешательства злоумышленника, тем самым усиливая воздействие программы-вымогателя на пострадавшие организации.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Yurei - это новая группа программ-вымогателей, использующая классическую модель программ-вымогателей с тактикой двойного вымогательства, нацеленную на корпоративные сети, шифрование данных и удаление резервных копий. Он построен с использованием языка программирования Go и использует уникальный процесс шифрования, идентифицирующий файлы без стандартных процедур, и использует алгоритм ChaCha20-Poly1305 с 32-байтовым ключом и 24-байтовым одноразовым номером, которые дополнительно защищены с помощью шифрования secp256k1-ECIES. Это усложняет процесс расшифровки, усиливая угрозу для затронутых организаций.
-----
Yurei - это недавно выявленная группа программ-вымогателей, которая появилась в начале сентября 2025 года и использует классическую модель программ-вымогателей, проникая в корпоративные сети, шифруя данные, удаляя резервные копии и требуя выкуп с помощью тактики двойного вымогательства. До сих пор не было никаких признаков модели "Программа-вымогатель как услуга" (RaaS) или сотрудничества с другими группами, а также свидетельств ребрендинга существующих Ransomware. Общение с жертвами осуществляется через специализированные платформы Dark Web.
Yurei ransomware создана с использованием языка программирования Go и имеет уникальный механизм шифрования. В отличие от традиционных программ-вымогателей, Yurei не инициирует процесс шифрования с помощью стандартных процедур, таких как изменение разрешений, установка значений аргументов или создание мьютексов. Вместо этого он быстро готовится к шифрованию, собирая информацию о диске из своей среды выполнения и запуская процедуру поиска файлов для шифрования по всем путям к диску.
Для шифрования Yurei использует алгоритм ChaCha20-Poly1305, генерирующий случайный 32-байтовый ключ и 24-байтовый одноразовый номер. Эти компоненты имеют решающее значение для процесса шифрования, поскольку они обеспечивают безопасное шифрование файлов. Как только целевые файлы идентифицированы, Yurei выполняет свою процедуру шифрования, используя сгенерированный ключ и одноразовый номер. Кроме того, для повышения безопасности ключа и одноразового номера они шифруются с использованием метода secp256k1-ECIES со встроенным открытым ключом, что делает их доступными для извлечения только злоумышленником, обладающим соответствующим закрытым ключом. Такой криптографический подход повышает сложность расшифровки файлов без вмешательства злоумышленника, тем самым усиливая воздействие программы-вымогателя на пострадавшие организации.
#ParsedReport #CompletenessLow
11-11-2025
Danabot Malware Reemerges with Version 669 After Operation Endgame
https://gbhackers.com/danabot-malware/
Report completeness: Low
Threats:
Danabot
Victims:
Banking sector
Industry:
Financial
IOCs:
IP: 4
Coin: 2
Soft:
Twitter, WhatsApp
Wallets:
tron
Crypto:
bitcoin, ethereum, litecoin
11-11-2025
Danabot Malware Reemerges with Version 669 After Operation Endgame
https://gbhackers.com/danabot-malware/
Report completeness: Low
Threats:
Danabot
Victims:
Banking sector
Industry:
Financial
IOCs:
IP: 4
Coin: 2
Soft:
Twitter, WhatsApp
Wallets:
tron
Crypto:
bitcoin, ethereum, litecoin
GBHackers Security | #1 Globally Trusted Cyber Security News Platform
Danabot Malware Reemerges with Version 669 After Operation Endgame
The notorious Danabot banking malware has made a comeback with the release of version 669, marking a significant return after nearly six months of silence.
CTT Report Hub
#ParsedReport #CompletenessLow 11-11-2025 Danabot Malware Reemerges with Version 669 After Operation Endgame https://gbhackers.com/danabot-malware/ Report completeness: Low Threats: Danabot Victims: Banking sector Industry: Financial IOCs: IP: 4 Coin:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Danabot, банковское вредоносное ПО, вновь появилось с версией 669 после шестимесячного перерыва после операции Endgame. Недавняя активность свидетельствует о развертывании новых серверов управления, что указывает на эволюционировавшую стратегию злоумышленников, направленную на повышение операционной устойчивости и уклонение от обнаружения. Это возрождение подчеркивает сохраняющиеся риски, связанные с передовым банковским вредоносным ПО, и показывает трудности, с которыми сталкиваются правоохранительные органы при постоянном уничтожении сетей киберпреступников.
-----
Danabot, банковское вредоносное ПО, появилось в новой версии 669 после сбоев, вызванных операцией Endgame в мае 2025 года. Это знаменует собой заметное возвращение вредоносного ПО, которое было относительно неактивным в течение почти шести месяцев. Обновленная активность свидетельствует о том, что злоумышленники, стоящие за Danabot, адаптировали и развили свои стратегии, продолжая представлять значительные риски для организаций.
Недавние наблюдения исследователей безопасности свидетельствуют о развертывании множества новых серверов управления (C2). Такая диверсификация инфраструктуры указывает на продуманные усилия злоумышленников по повышению своей операционной устойчивости и уклонению от обнаружения, тем самым укрепляя их способность организовывать кибератаки.
Возрождение версии 669 Danabot подчеркивает сохраняющиеся опасности, связанные с передовыми семействами банковских вредоносных ПО. Это иллюстрирует проблемы, с которыми сталкиваются правоохранительные органы, которым, возможно, удастся временно вывести из строя эти сети, но с трудом удается окончательно разрушить более широкую экосистему киберпреступников. Организации должны сохранять бдительность и укреплять свою защиту от таких постоянных угроз, признавая, что вредоносное ПО, подобное Danabot, может быстро появиться вновь, несмотря на предыдущие попытки его нейтрализовать.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Danabot, банковское вредоносное ПО, вновь появилось с версией 669 после шестимесячного перерыва после операции Endgame. Недавняя активность свидетельствует о развертывании новых серверов управления, что указывает на эволюционировавшую стратегию злоумышленников, направленную на повышение операционной устойчивости и уклонение от обнаружения. Это возрождение подчеркивает сохраняющиеся риски, связанные с передовым банковским вредоносным ПО, и показывает трудности, с которыми сталкиваются правоохранительные органы при постоянном уничтожении сетей киберпреступников.
-----
Danabot, банковское вредоносное ПО, появилось в новой версии 669 после сбоев, вызванных операцией Endgame в мае 2025 года. Это знаменует собой заметное возвращение вредоносного ПО, которое было относительно неактивным в течение почти шести месяцев. Обновленная активность свидетельствует о том, что злоумышленники, стоящие за Danabot, адаптировали и развили свои стратегии, продолжая представлять значительные риски для организаций.
Недавние наблюдения исследователей безопасности свидетельствуют о развертывании множества новых серверов управления (C2). Такая диверсификация инфраструктуры указывает на продуманные усилия злоумышленников по повышению своей операционной устойчивости и уклонению от обнаружения, тем самым укрепляя их способность организовывать кибератаки.
Возрождение версии 669 Danabot подчеркивает сохраняющиеся опасности, связанные с передовыми семействами банковских вредоносных ПО. Это иллюстрирует проблемы, с которыми сталкиваются правоохранительные органы, которым, возможно, удастся временно вывести из строя эти сети, но с трудом удается окончательно разрушить более широкую экосистему киберпреступников. Организации должны сохранять бдительность и укреплять свою защиту от таких постоянных угроз, признавая, что вредоносное ПО, подобное Danabot, может быстро появиться вновь, несмотря на предыдущие попытки его нейтрализовать.
#ParsedReport #CompletenessLow
11-11-2025
New KomeX Android RAT Hits Hacker Forums with Tiered Subscriptions
https://gbhackers.com/komex-android-rat/
Report completeness: Low
Threats:
Komex
Btmob_rat
Soft:
Android, Twitter, WhatsApp, Google Play
11-11-2025
New KomeX Android RAT Hits Hacker Forums with Tiered Subscriptions
https://gbhackers.com/komex-android-rat/
Report completeness: Low
Threats:
Komex
Btmob_rat
Soft:
Android, Twitter, WhatsApp, Google Play
GBHackers Security | #1 Globally Trusted Cyber Security News Platform
New “KomeX” Android RAT Hits Hacker Forums with Tiered Subscriptions
A sophisticated Android remote-access trojan named KomeX RAT has emerged on underground hacking forums.
CTT Report Hub
#ParsedReport #CompletenessLow 11-11-2025 New KomeX Android RAT Hits Hacker Forums with Tiered Subscriptions https://gbhackers.com/komex-android-rat/ Report completeness: Low Threats: Komex Btmob_rat Soft: Android, Twitter, WhatsApp, Google Play
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
KomeX - это троян для удаленного доступа к Android (RAT), распространяемый злоумышленником Gendirector, с многоуровневой моделью подписки, которая позволяет использовать целевые возможности в зависимости от цены. Он предлагает обширные функциональные возможности, такие как мониторинг коммуникаций, выполнение удаленных команд и сбор конфиденциальной информации, позиционируя его как сложный инструмент в среде мобильного вредоносного ПО. Эта разработка подчеркивает тенденцию к созданию более совершенного вредоносного ПО, доступного более широкому кругу злоумышленников, что вызывает опасения по поводу увеличения числа компрометаций устройств Android.
-----
KomeX - это недавно идентифицированный троян для удаленного доступа к Android (RAT), активно распространяемый на подпольных хакерских форумах злоумышленником, известным как Gendirector. Это вредоносное ПО особенно примечательно своей многоуровневой моделью подписки, предполагающей деловой подход к его распространению, ориентированный на различные возможности пользователей на основе различных цен.
KomeX RAT обладает широким спектром вредоносных функций, предоставляя злоумышленникам значительный контроль над зараженными устройствами. Его возможности, вероятно, включают в себя возможность отслеживать и перехватывать сообщения, удаленно выполнять команды и собирать конфиденциальную информацию, хранящуюся на устройстве. Такие функции делают его более продвинутым по сравнению со стандартным вредоносным ПО, что указывает на изменение уровня сложности в среде мобильных вредоносных ПО.
Появление KomeX RAT высвечивает эволюционирующие угрозы в экосистеме "вредоносное ПО как услуга", отмечая тенденцию, когда сложные инструменты становятся доступными для более широкой аудитории злоумышленников. Эта разработка вызывает опасения относительно потенциального всплеска компрометации устройств Android, поскольку злоумышленники используют эти расширенные возможности для различных вредоносных целей.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
KomeX - это троян для удаленного доступа к Android (RAT), распространяемый злоумышленником Gendirector, с многоуровневой моделью подписки, которая позволяет использовать целевые возможности в зависимости от цены. Он предлагает обширные функциональные возможности, такие как мониторинг коммуникаций, выполнение удаленных команд и сбор конфиденциальной информации, позиционируя его как сложный инструмент в среде мобильного вредоносного ПО. Эта разработка подчеркивает тенденцию к созданию более совершенного вредоносного ПО, доступного более широкому кругу злоумышленников, что вызывает опасения по поводу увеличения числа компрометаций устройств Android.
-----
KomeX - это недавно идентифицированный троян для удаленного доступа к Android (RAT), активно распространяемый на подпольных хакерских форумах злоумышленником, известным как Gendirector. Это вредоносное ПО особенно примечательно своей многоуровневой моделью подписки, предполагающей деловой подход к его распространению, ориентированный на различные возможности пользователей на основе различных цен.
KomeX RAT обладает широким спектром вредоносных функций, предоставляя злоумышленникам значительный контроль над зараженными устройствами. Его возможности, вероятно, включают в себя возможность отслеживать и перехватывать сообщения, удаленно выполнять команды и собирать конфиденциальную информацию, хранящуюся на устройстве. Такие функции делают его более продвинутым по сравнению со стандартным вредоносным ПО, что указывает на изменение уровня сложности в среде мобильных вредоносных ПО.
Появление KomeX RAT высвечивает эволюционирующие угрозы в экосистеме "вредоносное ПО как услуга", отмечая тенденцию, когда сложные инструменты становятся доступными для более широкой аудитории злоумышленников. Эта разработка вызывает опасения относительно потенциального всплеска компрометации устройств Android, поскольку злоумышленники используют эти расширенные возможности для различных вредоносных целей.
#ParsedReport #CompletenessMedium
11-11-2025
Maverick and Coyote: Analyzing the Link Between Two Evolving Brazilian Banking Trojans
https://www.cyberproof.com/blog/maverick-and-coyote-analyzing-the-link-between-two-evolving-brazilian-banking-trojans/
Report completeness: Medium
Threats:
Maverick
Coyote
Sorvepotel
Victims:
Banks, Financial institutions users, Hotels, Brazilian users
Industry:
Financial
Geo:
Brazil, Brazilian
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1036, T1059.001, T1059.003, T1140, T1204.001, T1204.002, T1204.003, T1587.001, T1588.001
IOCs:
File: 7
Command: 3
Url: 1
IP: 3
Hash: 3
Domain: 65
Soft:
WhatsApp, Microsoft Defender, chrome, firefox, opera, chromium
Wallets:
electrum
Algorithms:
gzip, sha256, md5, aes, zip, cbc, sha1, base64
Win Services:
WebClient
Languages:
powershell
11-11-2025
Maverick and Coyote: Analyzing the Link Between Two Evolving Brazilian Banking Trojans
https://www.cyberproof.com/blog/maverick-and-coyote-analyzing-the-link-between-two-evolving-brazilian-banking-trojans/
Report completeness: Medium
Threats:
Maverick
Coyote
Sorvepotel
Victims:
Banks, Financial institutions users, Hotels, Brazilian users
Industry:
Financial
Geo:
Brazil, Brazilian
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1036, T1059.001, T1059.003, T1140, T1204.001, T1204.002, T1204.003, T1587.001, T1588.001
IOCs:
File: 7
Command: 3
Url: 1
IP: 3
Hash: 3
Domain: 65
Soft:
WhatsApp, Microsoft Defender, chrome, firefox, opera, chromium
Wallets:
electrum
Algorithms:
gzip, sha256, md5, aes, zip, cbc, sha1, base64
Win Services:
WebClient
Languages:
powershell
CyberProof
Maverick and Coyote: Analyzing the Link Between Two Evolving Brazilian Banking Trojans
Contributors: Prajeesh Sureshkumar, Niranjan Jayanand Executive Summary The CyberProof SOC Team and Threat Hunters responded to an incident involving a
CTT Report Hub
#ParsedReport #CompletenessMedium 11-11-2025 Maverick and Coyote: Analyzing the Link Between Two Evolving Brazilian Banking Trojans https://www.cyberproof.com/blog/maverick-and-coyote-analyzing-the-link-between-two-evolving-brazilian-banking-trojans/ Report…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Исследователи CyberProof выявили связь между двумя бразильскими банковскими троянами, Maverick и Coyote, которые распространяются через WhatsApp. Оба штамма вредоносного ПО используют схожие многоступенчатые методы заражения, используя вредоносные сжатые файлы, которые выполняют команды PowerShell для нацеливания на банковские URL-адреса. Примечательно, что они специально ориентированы на бразильских пользователей и финансовые учреждения, что указывает на дублирование операций и меняющийся ландшафт угроз, потенциально усиливаемый достижениями в области искусственного интеллекта.
-----
Недавние исследования, проведенные исследователями CyberProof, выявили связь между двумя развивающимися бразильскими банковскими троянами, Maverick и Coyote, которые распространяются главным образом через приложение для обмена сообщениями WhatsApp. Анализ, начатый после выявления инцидентов, связанных с вредоносным ПО Maverick, показал многоэтапную цепочку заражения, в которой используются аналогичные методы, ранее отмеченные в кампании Coyote.
И Maverick, и Coyote имеют общие технические характеристики, включая методы заражения, которые начинаются с файлов Вредоносных ссылок, выполняющих команды PowerShell. Злоумышленники используют общий алгоритм шифрования для расшифровки целевых банковских URL-адресов, что указывает на уровень дублирования операций между двумя троянами. Оба штамма вредоносного ПО также ориентированы на одну и ту же демографическую группу, конкретно ориентируясь на бразильских пользователей и финансовые учреждения, и разрабатываются с использованием .СЕТЕВОЙ фреймворк.
В одном примечательном инциденте файл с надписью NEW-20251001_152441-PED_561BCF01.zip был загружен с веб-интерфейса WhatsApp, что позволяет предположить, что вредоносное ПО распространяется через общие файлы в потоках обмена сообщениями. Расследование CyberProof также выявило структурированную цепочку уничтожения атак, которая начинается с безобидных на вид архивированных файлов, за которыми следует выполнение скриптов PowerShell.
Исследователи предоставили подробный поисковый запрос, направленный на выявление загрузок из WhatsApp, которые могут привести к дальнейшим заражениям. Этот запрос фокусируется на отслеживании загрузок файлов с платформы обмена сообщениями и соотносит их с последующим выполнением команд PowerShell, потенциально выявляя вредоносную активность, связанную с вредоносным ПО.
Анализ показал, что Maverick влияет не только на пользователей бразильских банковских учреждений, но и на бразильский гостиничный бизнес. Кроме того, поведение вредоносного ПО указывает на возможность будущих итераций, основанных на достижениях искусственного интеллекта, что указывает на эволюционирующий ландшафт для этих киберугроз.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Исследователи CyberProof выявили связь между двумя бразильскими банковскими троянами, Maverick и Coyote, которые распространяются через WhatsApp. Оба штамма вредоносного ПО используют схожие многоступенчатые методы заражения, используя вредоносные сжатые файлы, которые выполняют команды PowerShell для нацеливания на банковские URL-адреса. Примечательно, что они специально ориентированы на бразильских пользователей и финансовые учреждения, что указывает на дублирование операций и меняющийся ландшафт угроз, потенциально усиливаемый достижениями в области искусственного интеллекта.
-----
Недавние исследования, проведенные исследователями CyberProof, выявили связь между двумя развивающимися бразильскими банковскими троянами, Maverick и Coyote, которые распространяются главным образом через приложение для обмена сообщениями WhatsApp. Анализ, начатый после выявления инцидентов, связанных с вредоносным ПО Maverick, показал многоэтапную цепочку заражения, в которой используются аналогичные методы, ранее отмеченные в кампании Coyote.
И Maverick, и Coyote имеют общие технические характеристики, включая методы заражения, которые начинаются с файлов Вредоносных ссылок, выполняющих команды PowerShell. Злоумышленники используют общий алгоритм шифрования для расшифровки целевых банковских URL-адресов, что указывает на уровень дублирования операций между двумя троянами. Оба штамма вредоносного ПО также ориентированы на одну и ту же демографическую группу, конкретно ориентируясь на бразильских пользователей и финансовые учреждения, и разрабатываются с использованием .СЕТЕВОЙ фреймворк.
В одном примечательном инциденте файл с надписью NEW-20251001_152441-PED_561BCF01.zip был загружен с веб-интерфейса WhatsApp, что позволяет предположить, что вредоносное ПО распространяется через общие файлы в потоках обмена сообщениями. Расследование CyberProof также выявило структурированную цепочку уничтожения атак, которая начинается с безобидных на вид архивированных файлов, за которыми следует выполнение скриптов PowerShell.
Исследователи предоставили подробный поисковый запрос, направленный на выявление загрузок из WhatsApp, которые могут привести к дальнейшим заражениям. Этот запрос фокусируется на отслеживании загрузок файлов с платформы обмена сообщениями и соотносит их с последующим выполнением команд PowerShell, потенциально выявляя вредоносную активность, связанную с вредоносным ПО.
Анализ показал, что Maverick влияет не только на пользователей бразильских банковских учреждений, но и на бразильский гостиничный бизнес. Кроме того, поведение вредоносного ПО указывает на возможность будущих итераций, основанных на достижениях искусственного интеллекта, что указывает на эволюционирующий ландшафт для этих киберугроз.
#ParsedReport #CompletenessHigh
11-11-2025
How RMM abuse fuelled Medusa & DragonForce attacks
https://zensec.co.uk/blog/how-rmm-abuse-fuelled-medusa-dragonforce-attacks/
Report completeness: High
Actors/Campaigns:
Dragonforce (motivation: financially_motivated)
Threats:
Medusa_ransomware
Simplehelp_tool
Dragonforce_ransomware
Rclone_tool
Restic_tool
Medusa_rootkit
Anydesk_tool
Abyssworker
Credential_harvesting_technique
Cobalt_strike_tool
Victims:
Managed service providers, Software suppliers, Customer environments, Uk organisations
CVEs:
CVE-2024-57726 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
CVE-2024-57728 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
CVE-2024-57727 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
TTPs:
Tactics: 6
Technics: 0
IOCs:
File: 17
IP: 3
Url: 2
Domain: 3
Hash: 6
Soft:
PDQ Deploy, Microsoft Defender, Windows Defender, PDQdeploy, Telegram, Hyper-V
Wallets:
wassabi
Algorithms:
base64, sha256
Functions:
Get-Veeam-Creds
Languages:
powershell
11-11-2025
How RMM abuse fuelled Medusa & DragonForce attacks
https://zensec.co.uk/blog/how-rmm-abuse-fuelled-medusa-dragonforce-attacks/
Report completeness: High
Actors/Campaigns:
Dragonforce (motivation: financially_motivated)
Threats:
Medusa_ransomware
Simplehelp_tool
Dragonforce_ransomware
Rclone_tool
Restic_tool
Medusa_rootkit
Anydesk_tool
Abyssworker
Credential_harvesting_technique
Cobalt_strike_tool
Victims:
Managed service providers, Software suppliers, Customer environments, Uk organisations
CVEs:
CVE-2024-57726 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
CVE-2024-57728 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
CVE-2024-57727 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
TTPs:
Tactics: 6
Technics: 0
IOCs:
File: 17
IP: 3
Url: 2
Domain: 3
Hash: 6
Soft:
PDQ Deploy, Microsoft Defender, Windows Defender, PDQdeploy, Telegram, Hyper-V
Wallets:
wassabi
Algorithms:
base64, sha256
Functions:
Get-Veeam-Creds
Languages:
powershell
Zensec
How RMM abuse fuelled Medusa & DragonForce attacks - Zensec
If you are reading this because you have experienced a ransomware incident and are unsure how to deal with it, contact Zensec immediately.
CTT Report Hub
#ParsedReport #CompletenessHigh 11-11-2025 How RMM abuse fuelled Medusa & DragonForce attacks https://zensec.co.uk/blog/how-rmm-abuse-fuelled-medusa-dragonforce-attacks/ Report completeness: High Actors/Campaigns: Dragonforce (motivation: financially_motivated)…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В начале 2025 года группы программ-вымогателей Medusa и DragonForce воспользовались уязвимостями в платформе SimpleHelp RMM (CVE-2024-57726, CVE-2024-57727, CVE-2024-57728), чтобы получить доступ к MSP и их клиентам. Тактика Medusa's включала эксфильтрацию данных через переименованный RClone, обнаружение сети для перемещения внутри компании и использование методов уклонения для отключения мер безопасности. DragonForce аналогичным образом использовала скомпрометированные инструменты RMM для установки дополнительного программного обеспечения для устойчивого доступа, иллюстрируя риски, связанные с незащищенными уязвимостями RMM.
-----
В начале 2025 года сообщалось о многочисленных инцидентах с программами-вымогателями, использующими уязвимости в платформе удаленного мониторинга и управления SimpleHelp (RMM), которая широко используется поставщиками управляемых услуг (MSP). Группы Medusa и DragonForce ransomware, в частности, использовали три специфические уязвимости (CVE-2024-57726, CVE-2024-57727 и CVE-2024-57728) для проникновения в клиентскую среду через скомпрометированные серверы RMM.
Группа Medusa ransomware возглавила скоординированную атаку, которая затронула многочисленные организации в Великобритании в течение первого квартала 2025 года. Злоумышленники получили первоначальный доступ, нацелившись на непатентованные или неправильно сконфигурированные экземпляры SimpleHelp, принадлежащие их поставщикам и MSP, эффективно используя эти инструменты в качестве шлюзов в сети нижестоящих клиентов. После первоначального компрометации эксфильтрация данных была осуществлена с использованием RClone, при этом перед шифрованием наблюдались скачки данных, а файлы позже всплыли на сайте утечки Medusa's Dark Web. Системы были зашифрованы с расширением ".MEDUSA", сопровождаемым записками о выкупе с именем "!!!READ_ME_MEDUSA!!!.txt.".
Атаки Medusa продемонстрировали стратегию, которая включала использование инструментов обнаружения сети, таких как netscan.exe для идентификации хостов и служб в скомпрометированных сетях, что позволяет осуществлять целенаправленное перемещение внутри компании в направлении критически важных активов. Акторы часто поддерживали доступ, создавая дополнительные каналы удаленного управления. На этапе эксфильтрации данных RClone был хитроумно переименован, чтобы избежать обнаружения, и сконфигурирован для выбора файлов на основе определенных критериев, что позволило избежать передачи больших объемов данных. Кроме того, злоумышленники предприняли меры по удалению конфигурационных файлов RClone после эксфильтрации, что усложнило судебно-медицинское расследование.
Фаза шифрования была нацелена практически на все онлайн-системы в сетевых средах и выполнялась либо вручную, либо с помощью таких инструментов, как PDQdeploy. Злоумышленники использовали многочисленные тактики уклонения, включая скрипты PowerShell для отключения решений безопасности и особенно известный драйвер, идентифицированный аналитиками безопасности как Abyssworker, чтобы препятствовать обнаружению традиционными антивирусными продуктами.
После шифрования Medusa использовала модель двойного вымогательства, перечисляя организации-жертвы на своем сайте утечки данных и предоставляя данные, подтверждающие их существование, включая скриншоты и файловые деревья, используя их в качестве рычага воздействия на жертв.
Аналогичным образом группа DragonForce использовала те же уязвимости в установках SimpleHelp RMM. Они использовали повышенные разрешения, полученные в результате этих компромиссов, для установки дополнительных инструментов, таких как AnyDesk, и создания локальных административных учетных записей для постоянного доступа и перемещения внутри компании в затронутых сетях. Эти операции подчеркивают значительный риск, связанный с непатентованными инструментами RMM, которые позволяют группам вымогателей закрепиться в безопасных в остальном средах.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В начале 2025 года группы программ-вымогателей Medusa и DragonForce воспользовались уязвимостями в платформе SimpleHelp RMM (CVE-2024-57726, CVE-2024-57727, CVE-2024-57728), чтобы получить доступ к MSP и их клиентам. Тактика Medusa's включала эксфильтрацию данных через переименованный RClone, обнаружение сети для перемещения внутри компании и использование методов уклонения для отключения мер безопасности. DragonForce аналогичным образом использовала скомпрометированные инструменты RMM для установки дополнительного программного обеспечения для устойчивого доступа, иллюстрируя риски, связанные с незащищенными уязвимостями RMM.
-----
В начале 2025 года сообщалось о многочисленных инцидентах с программами-вымогателями, использующими уязвимости в платформе удаленного мониторинга и управления SimpleHelp (RMM), которая широко используется поставщиками управляемых услуг (MSP). Группы Medusa и DragonForce ransomware, в частности, использовали три специфические уязвимости (CVE-2024-57726, CVE-2024-57727 и CVE-2024-57728) для проникновения в клиентскую среду через скомпрометированные серверы RMM.
Группа Medusa ransomware возглавила скоординированную атаку, которая затронула многочисленные организации в Великобритании в течение первого квартала 2025 года. Злоумышленники получили первоначальный доступ, нацелившись на непатентованные или неправильно сконфигурированные экземпляры SimpleHelp, принадлежащие их поставщикам и MSP, эффективно используя эти инструменты в качестве шлюзов в сети нижестоящих клиентов. После первоначального компрометации эксфильтрация данных была осуществлена с использованием RClone, при этом перед шифрованием наблюдались скачки данных, а файлы позже всплыли на сайте утечки Medusa's Dark Web. Системы были зашифрованы с расширением ".MEDUSA", сопровождаемым записками о выкупе с именем "!!!READ_ME_MEDUSA!!!.txt.".
Атаки Medusa продемонстрировали стратегию, которая включала использование инструментов обнаружения сети, таких как netscan.exe для идентификации хостов и служб в скомпрометированных сетях, что позволяет осуществлять целенаправленное перемещение внутри компании в направлении критически важных активов. Акторы часто поддерживали доступ, создавая дополнительные каналы удаленного управления. На этапе эксфильтрации данных RClone был хитроумно переименован, чтобы избежать обнаружения, и сконфигурирован для выбора файлов на основе определенных критериев, что позволило избежать передачи больших объемов данных. Кроме того, злоумышленники предприняли меры по удалению конфигурационных файлов RClone после эксфильтрации, что усложнило судебно-медицинское расследование.
Фаза шифрования была нацелена практически на все онлайн-системы в сетевых средах и выполнялась либо вручную, либо с помощью таких инструментов, как PDQdeploy. Злоумышленники использовали многочисленные тактики уклонения, включая скрипты PowerShell для отключения решений безопасности и особенно известный драйвер, идентифицированный аналитиками безопасности как Abyssworker, чтобы препятствовать обнаружению традиционными антивирусными продуктами.
После шифрования Medusa использовала модель двойного вымогательства, перечисляя организации-жертвы на своем сайте утечки данных и предоставляя данные, подтверждающие их существование, включая скриншоты и файловые деревья, используя их в качестве рычага воздействия на жертв.
Аналогичным образом группа DragonForce использовала те же уязвимости в установках SimpleHelp RMM. Они использовали повышенные разрешения, полученные в результате этих компромиссов, для установки дополнительных инструментов, таких как AnyDesk, и создания локальных административных учетных записей для постоянного доступа и перемещения внутри компании в затронутых сетях. Эти операции подчеркивают значительный риск, связанный с непатентованными инструментами RMM, которые позволяют группам вымогателей закрепиться в безопасных в остальном средах.
#llm
Death by a Thousand Prompts: Open Model Vulnerability Analysis
https://arxiv.org/html/2511.03247v1
Death by a Thousand Prompts: Open Model Vulnerability Analysis
https://arxiv.org/html/2511.03247v1