#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Yurei - это новая группа программ-вымогателей, использующая классическую модель программ-вымогателей с тактикой двойного вымогательства, нацеленную на корпоративные сети, шифрование данных и удаление резервных копий. Он построен с использованием языка программирования Go и использует уникальный процесс шифрования, идентифицирующий файлы без стандартных процедур, и использует алгоритм ChaCha20-Poly1305 с 32-байтовым ключом и 24-байтовым одноразовым номером, которые дополнительно защищены с помощью шифрования secp256k1-ECIES. Это усложняет процесс расшифровки, усиливая угрозу для затронутых организаций.
-----

Yurei - это недавно выявленная группа программ-вымогателей, которая появилась в начале сентября 2025 года и использует классическую модель программ-вымогателей, проникая в корпоративные сети, шифруя данные, удаляя резервные копии и требуя выкуп с помощью тактики двойного вымогательства. До сих пор не было никаких признаков модели "Программа-вымогатель как услуга" (RaaS) или сотрудничества с другими группами, а также свидетельств ребрендинга существующих Ransomware. Общение с жертвами осуществляется через специализированные платформы Dark Web.

Yurei ransomware создана с использованием языка программирования Go и имеет уникальный механизм шифрования. В отличие от традиционных программ-вымогателей, Yurei не инициирует процесс шифрования с помощью стандартных процедур, таких как изменение разрешений, установка значений аргументов или создание мьютексов. Вместо этого он быстро готовится к шифрованию, собирая информацию о диске из своей среды выполнения и запуская процедуру поиска файлов для шифрования по всем путям к диску.

Для шифрования Yurei использует алгоритм ChaCha20-Poly1305, генерирующий случайный 32-байтовый ключ и 24-байтовый одноразовый номер. Эти компоненты имеют решающее значение для процесса шифрования, поскольку они обеспечивают безопасное шифрование файлов. Как только целевые файлы идентифицированы, Yurei выполняет свою процедуру шифрования, используя сгенерированный ключ и одноразовый номер. Кроме того, для повышения безопасности ключа и одноразового номера они шифруются с использованием метода secp256k1-ECIES со встроенным открытым ключом, что делает их доступными для извлечения только злоумышленником, обладающим соответствующим закрытым ключом. Такой криптографический подход повышает сложность расшифровки файлов без вмешательства злоумышленника, тем самым усиливая воздействие программы-вымогателя на пострадавшие организации.

#ParsedReport #CompletenessLow
11-11-2025

Danabot Malware Reemerges with Version 669 After Operation Endgame

https://gbhackers.com/danabot-malware/

Report completeness: Low

Threats:
Danabot

Victims:
Banking sector

Industry:
Financial

IOCs:
IP: 4
Coin: 2

Soft:
Twitter, WhatsApp

Wallets:
tron

Crypto:
bitcoin, ethereum, litecoin

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Danabot, банковское вредоносное ПО, вновь появилось с версией 669 после шестимесячного перерыва после операции Endgame. Недавняя активность свидетельствует о развертывании новых серверов управления, что указывает на эволюционировавшую стратегию злоумышленников, направленную на повышение операционной устойчивости и уклонение от обнаружения. Это возрождение подчеркивает сохраняющиеся риски, связанные с передовым банковским вредоносным ПО, и показывает трудности, с которыми сталкиваются правоохранительные органы при постоянном уничтожении сетей киберпреступников.
-----

Danabot, банковское вредоносное ПО, появилось в новой версии 669 после сбоев, вызванных операцией Endgame в мае 2025 года. Это знаменует собой заметное возвращение вредоносного ПО, которое было относительно неактивным в течение почти шести месяцев. Обновленная активность свидетельствует о том, что злоумышленники, стоящие за Danabot, адаптировали и развили свои стратегии, продолжая представлять значительные риски для организаций.

Недавние наблюдения исследователей безопасности свидетельствуют о развертывании множества новых серверов управления (C2). Такая диверсификация инфраструктуры указывает на продуманные усилия злоумышленников по повышению своей операционной устойчивости и уклонению от обнаружения, тем самым укрепляя их способность организовывать кибератаки.

Возрождение версии 669 Danabot подчеркивает сохраняющиеся опасности, связанные с передовыми семействами банковских вредоносных ПО. Это иллюстрирует проблемы, с которыми сталкиваются правоохранительные органы, которым, возможно, удастся временно вывести из строя эти сети, но с трудом удается окончательно разрушить более широкую экосистему киберпреступников. Организации должны сохранять бдительность и укреплять свою защиту от таких постоянных угроз, признавая, что вредоносное ПО, подобное Danabot, может быстро появиться вновь, несмотря на предыдущие попытки его нейтрализовать.

#ParsedReport #CompletenessLow
11-11-2025

New KomeX Android RAT Hits Hacker Forums with Tiered Subscriptions

https://gbhackers.com/komex-android-rat/

Report completeness: Low

Threats:
Komex
Btmob_rat

Soft:
Android, Twitter, WhatsApp, Google Play

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
KomeX - это троян для удаленного доступа к Android (RAT), распространяемый злоумышленником Gendirector, с многоуровневой моделью подписки, которая позволяет использовать целевые возможности в зависимости от цены. Он предлагает обширные функциональные возможности, такие как мониторинг коммуникаций, выполнение удаленных команд и сбор конфиденциальной информации, позиционируя его как сложный инструмент в среде мобильного вредоносного ПО. Эта разработка подчеркивает тенденцию к созданию более совершенного вредоносного ПО, доступного более широкому кругу злоумышленников, что вызывает опасения по поводу увеличения числа компрометаций устройств Android.
-----

KomeX - это недавно идентифицированный троян для удаленного доступа к Android (RAT), активно распространяемый на подпольных хакерских форумах злоумышленником, известным как Gendirector. Это вредоносное ПО особенно примечательно своей многоуровневой моделью подписки, предполагающей деловой подход к его распространению, ориентированный на различные возможности пользователей на основе различных цен.

KomeX RAT обладает широким спектром вредоносных функций, предоставляя злоумышленникам значительный контроль над зараженными устройствами. Его возможности, вероятно, включают в себя возможность отслеживать и перехватывать сообщения, удаленно выполнять команды и собирать конфиденциальную информацию, хранящуюся на устройстве. Такие функции делают его более продвинутым по сравнению со стандартным вредоносным ПО, что указывает на изменение уровня сложности в среде мобильных вредоносных ПО.

Появление KomeX RAT высвечивает эволюционирующие угрозы в экосистеме "вредоносное ПО как услуга", отмечая тенденцию, когда сложные инструменты становятся доступными для более широкой аудитории злоумышленников. Эта разработка вызывает опасения относительно потенциального всплеска компрометации устройств Android, поскольку злоумышленники используют эти расширенные возможности для различных вредоносных целей.

#ParsedReport #CompletenessMedium
11-11-2025

Maverick and Coyote: Analyzing the Link Between Two Evolving Brazilian Banking Trojans

https://www.cyberproof.com/blog/maverick-and-coyote-analyzing-the-link-between-two-evolving-brazilian-banking-trojans/

Report completeness: Medium

Threats:
Maverick
Coyote
Sorvepotel

Victims:
Banks, Financial institutions users, Hotels, Brazilian users

Industry:
Financial

Geo:
Brazil, Brazilian

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036, T1059.001, T1059.003, T1140, T1204.001, T1204.002, T1204.003, T1587.001, T1588.001

IOCs:
File: 7
Command: 3
Url: 1
IP: 3
Hash: 3
Domain: 65

Soft:
WhatsApp, Microsoft Defender, chrome, firefox, opera, chromium

Wallets:
electrum

Algorithms:
gzip, sha256, md5, aes, zip, cbc, sha1, base64

Win Services:
WebClient

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Исследователи CyberProof выявили связь между двумя бразильскими банковскими троянами, Maverick и Coyote, которые распространяются через WhatsApp. Оба штамма вредоносного ПО используют схожие многоступенчатые методы заражения, используя вредоносные сжатые файлы, которые выполняют команды PowerShell для нацеливания на банковские URL-адреса. Примечательно, что они специально ориентированы на бразильских пользователей и финансовые учреждения, что указывает на дублирование операций и меняющийся ландшафт угроз, потенциально усиливаемый достижениями в области искусственного интеллекта.
-----

Недавние исследования, проведенные исследователями CyberProof, выявили связь между двумя развивающимися бразильскими банковскими троянами, Maverick и Coyote, которые распространяются главным образом через приложение для обмена сообщениями WhatsApp. Анализ, начатый после выявления инцидентов, связанных с вредоносным ПО Maverick, показал многоэтапную цепочку заражения, в которой используются аналогичные методы, ранее отмеченные в кампании Coyote.

И Maverick, и Coyote имеют общие технические характеристики, включая методы заражения, которые начинаются с файлов Вредоносных ссылок, выполняющих команды PowerShell. Злоумышленники используют общий алгоритм шифрования для расшифровки целевых банковских URL-адресов, что указывает на уровень дублирования операций между двумя троянами. Оба штамма вредоносного ПО также ориентированы на одну и ту же демографическую группу, конкретно ориентируясь на бразильских пользователей и финансовые учреждения, и разрабатываются с использованием .СЕТЕВОЙ фреймворк.

В одном примечательном инциденте файл с надписью NEW-20251001_152441-PED_561BCF01.zip был загружен с веб-интерфейса WhatsApp, что позволяет предположить, что вредоносное ПО распространяется через общие файлы в потоках обмена сообщениями. Расследование CyberProof также выявило структурированную цепочку уничтожения атак, которая начинается с безобидных на вид архивированных файлов, за которыми следует выполнение скриптов PowerShell.

Исследователи предоставили подробный поисковый запрос, направленный на выявление загрузок из WhatsApp, которые могут привести к дальнейшим заражениям. Этот запрос фокусируется на отслеживании загрузок файлов с платформы обмена сообщениями и соотносит их с последующим выполнением команд PowerShell, потенциально выявляя вредоносную активность, связанную с вредоносным ПО.

Анализ показал, что Maverick влияет не только на пользователей бразильских банковских учреждений, но и на бразильский гостиничный бизнес. Кроме того, поведение вредоносного ПО указывает на возможность будущих итераций, основанных на достижениях искусственного интеллекта, что указывает на эволюционирующий ландшафт для этих киберугроз.

#ParsedReport #CompletenessHigh
11-11-2025

How RMM abuse fuelled Medusa & DragonForce attacks

https://zensec.co.uk/blog/how-rmm-abuse-fuelled-medusa-dragonforce-attacks/

Report completeness: High

Actors/Campaigns:
Dragonforce (motivation: financially_motivated)

Threats:
Medusa_ransomware
Simplehelp_tool
Dragonforce_ransomware
Rclone_tool
Restic_tool
Medusa_rootkit
Anydesk_tool
Abyssworker
Credential_harvesting_technique
Cobalt_strike_tool

Victims:
Managed service providers, Software suppliers, Customer environments, Uk organisations

CVEs:
CVE-2024-57726 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2024-57728 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2024-57727 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 6
Technics: 0

IOCs:
File: 17
IP: 3
Url: 2
Domain: 3
Hash: 6

Soft:
PDQ Deploy, Microsoft Defender, Windows Defender, PDQdeploy, Telegram, Hyper-V

Wallets:
wassabi

Algorithms:
base64, sha256

Functions:
Get-Veeam-Creds

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В начале 2025 года группы программ-вымогателей Medusa и DragonForce воспользовались уязвимостями в платформе SimpleHelp RMM (CVE-2024-57726, CVE-2024-57727, CVE-2024-57728), чтобы получить доступ к MSP и их клиентам. Тактика Medusa's включала эксфильтрацию данных через переименованный RClone, обнаружение сети для перемещения внутри компании и использование методов уклонения для отключения мер безопасности. DragonForce аналогичным образом использовала скомпрометированные инструменты RMM для установки дополнительного программного обеспечения для устойчивого доступа, иллюстрируя риски, связанные с незащищенными уязвимостями RMM.
-----

В начале 2025 года сообщалось о многочисленных инцидентах с программами-вымогателями, использующими уязвимости в платформе удаленного мониторинга и управления SimpleHelp (RMM), которая широко используется поставщиками управляемых услуг (MSP). Группы Medusa и DragonForce ransomware, в частности, использовали три специфические уязвимости (CVE-2024-57726, CVE-2024-57727 и CVE-2024-57728) для проникновения в клиентскую среду через скомпрометированные серверы RMM.

Группа Medusa ransomware возглавила скоординированную атаку, которая затронула многочисленные организации в Великобритании в течение первого квартала 2025 года. Злоумышленники получили первоначальный доступ, нацелившись на непатентованные или неправильно сконфигурированные экземпляры SimpleHelp, принадлежащие их поставщикам и MSP, эффективно используя эти инструменты в качестве шлюзов в сети нижестоящих клиентов. После первоначального компрометации эксфильтрация данных была осуществлена с использованием RClone, при этом перед шифрованием наблюдались скачки данных, а файлы позже всплыли на сайте утечки Medusa's Dark Web. Системы были зашифрованы с расширением ".MEDUSA", сопровождаемым записками о выкупе с именем "!!!READ_ME_MEDUSA!!!.txt.".

Атаки Medusa продемонстрировали стратегию, которая включала использование инструментов обнаружения сети, таких как netscan.exe для идентификации хостов и служб в скомпрометированных сетях, что позволяет осуществлять целенаправленное перемещение внутри компании в направлении критически важных активов. Акторы часто поддерживали доступ, создавая дополнительные каналы удаленного управления. На этапе эксфильтрации данных RClone был хитроумно переименован, чтобы избежать обнаружения, и сконфигурирован для выбора файлов на основе определенных критериев, что позволило избежать передачи больших объемов данных. Кроме того, злоумышленники предприняли меры по удалению конфигурационных файлов RClone после эксфильтрации, что усложнило судебно-медицинское расследование.

Фаза шифрования была нацелена практически на все онлайн-системы в сетевых средах и выполнялась либо вручную, либо с помощью таких инструментов, как PDQdeploy. Злоумышленники использовали многочисленные тактики уклонения, включая скрипты PowerShell для отключения решений безопасности и особенно известный драйвер, идентифицированный аналитиками безопасности как Abyssworker, чтобы препятствовать обнаружению традиционными антивирусными продуктами.

После шифрования Medusa использовала модель двойного вымогательства, перечисляя организации-жертвы на своем сайте утечки данных и предоставляя данные, подтверждающие их существование, включая скриншоты и файловые деревья, используя их в качестве рычага воздействия на жертв.

Аналогичным образом группа DragonForce использовала те же уязвимости в установках SimpleHelp RMM. Они использовали повышенные разрешения, полученные в результате этих компромиссов, для установки дополнительных инструментов, таких как AnyDesk, и создания локальных административных учетных записей для постоянного доступа и перемещения внутри компании в затронутых сетях. Эти операции подчеркивают значительный риск, связанный с непатентованными инструментами RMM, которые позволяют группам вымогателей закрепиться в безопасных в остальном средах.

#llm

Death by a Thousand Prompts: Open Model Vulnerability Analysis

https://arxiv.org/html/2511.03247v1

#technique

BOF Spawn - Process Injection

Cobalt Strike BOF for beacon/shellcode injection using fork & run technique with Draugr synthetic stack frames

https://github.com/NtDallas/BOF_Spawn/

#technique

SharpParty: Process Injection in C#

https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/sharpparty-process-injection-in-c/

#ParsedReport #CompletenessLow
12-11-2025

Payroll Pirates: The Widespread Malvertising Network

https://cyberint.com/blog/threat-intelligence/payroll-pirates-the-widespread-malvertising-network/

Report completeness: Low

Actors/Campaigns:
Payroll_pirates (motivation: financially_motivated)

Threats:
Credential_harvesting_technique
Cloaking_technique
Residential_proxy_technique

Victims:
Credit unions, Payroll platforms, Health care benefits platforms, Trading platforms, Financial institutions

Industry:
Telco, Healthcare, Retail

Geo:
Ukrainian, Kazakhstan, Ukraine

ChatGPT TTPs:
do not use without manual check
T1020, T1027, T1036, T1056.003, T1090, T1111, T1204.001, T1566.002, T1583.001, T1583.003, have more...

IOCs:
File: 4
Url: 3

Soft:
Twitter, telegram, Microsoft ad

Languages:
php

#ParsedReport #ExtractedSchema

Classified images:
code: 6, table: 1, windows: 1, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания "Payroll Pirates", действующая с мая 2023 года, использует Вредоносную рекламу через Google и Microsoft Ads, чтобы направлять пользователей на сайты фишинга, выдающие себя за программное обеспечение для расчета заработной платы, связанные с русскоязычными злоумышленниками. Операция включает в себя кластеры, использующие различные домены для сбора учетных данных, реализующие передовые методы, такие как обход 2FA. Технические показатели включают использование законных рекламных аккаунтов наряду с мошенническими и скомпрометированные IP-адреса резидентов США, демонстрирующие высокий уровень изощренности в таргетинге на финансовые учреждения.
-----

Кампания "Payroll Pirates", действующая как минимум с мая 2023 года, использует стратегию Вредоносной рекламы для перенаправления пользователей через рекламу Google и Microsoft на сайты фишинга Маскировки под платформы программного обеспечения для расчета заработной платы. Кампания характеризуется множеством различных групп акторов, каждый из которых использует уникальные методы регистрации доменов и инфраструктуру, но преследует общую цель сбора учетных данных с помощью вредоносной рекламы. Ключевые показатели указывают на то, что за операцией стоят русскоязычные злоумышленники, а сходство в наборах для фишинга, используемых разными группами, указывает либо на общий набор инструментов, либо на откол от общего источника.

По состоянию на июнь 2024 года злоумышленники усовершенствовали свои методы. Они внедрили надежный механизм обхода 2FA, позволяющий им запрашивать одноразовые коды у жертв при попытке входа в систему. Злоумышленники быстро приспособились к сбоям в своей инфраструктуре и в конечном итоге разработали свою кампанию, направленную на эффективное скрытие трафика через внутренние серверы без видимой центральной точки. К концу 2023 года первоначальная активность прекратилась, но в сентябре 2025 года наблюдался значительный всплеск, что вызвало расследование, которое выявило общую координацию в различных секторах, таких как кредитные союзы и медицинские пособия, с помощью централизованного Telegram-бота для ответов 2FA.

Были определены два основных кластера: в одном в основном используются объявления Google с замаскированными перенаправлениями, а в другом - объявления Bing со случайно сгенерированными URL-адресами. Кластер Google Ads, как правило, использует домены с массовой регистрацией, часто скрытые за сервисами CDN, в то время как кластер Bing ориентирован на финансовые учреждения, предлагая индивидуальный подход, основанный на процессах проверки рекламных сетей.

Технические замечания, сделанные в ходе кампании, указывают на использование проверенных рекламных аккаунтов, которые соседствуют с законной рекламой, что подразумевает возможную кражу аккаунта или перепродажу. IP-адреса, связанные с кампанией, были отслежены до подключений к жилым домам в США, что позволило выявить потенциально скомпрометированные потребительские маршрутизаторы, оснащенные протоколом PPTP, что указывает на сложный метод обфускации и анонимности в Интернете.

Эволюционирующий характер кампании "Payroll Pirates" подчеркивает растущую изощренность и адаптивность финансово мотивированных хакерских группировок в киберпространстве, использующих комбинацию фишинговых данных и передовых технологических стратегий для использования уязвимостей, нацеленных на финансовые организации.

#ParsedReport #CompletenessLow
12-11-2025

Report Title: Quick Overview of CLOBELSECTEAM: #OpJapan Campaign

https://s2w.inc/en/resource/detail/953

Report completeness: Low

Actors/Campaigns:
Clobelsecteam (motivation: hacktivism, information_theft)
Operation_japan (motivation: hacktivism, information_theft)
Hezi_rash

Threats:
Residelocker

Victims:
Government, Military, Aviation, Energy, Healthcare, Research, Microsoft japan, Biglobe, Pikara, Idc frontier, have more...

Industry:
Military, Government, Aerospace, Healthcare, Energy

Geo:
North korea, United kingdom, Ukraine, Italy, Russia, Japanese, Indonesia, Kurdish, Chinese, Russian, Japan, Vietnam, France, China

ChatGPT TTPs:
do not use without manual check
T1585, T1587, T1588

Soft:
Telegram, Twitter, Instagram