#ParsedReport #CompletenessMedium
11-11-2025

Maverick and Coyote: Analyzing the Link Between Two Evolving Brazilian Banking Trojans

https://www.cyberproof.com/blog/maverick-and-coyote-analyzing-the-link-between-two-evolving-brazilian-banking-trojans/

Report completeness: Medium

Threats:
Maverick
Coyote
Sorvepotel

Victims:
Banks, Financial institutions users, Hotels, Brazilian users

Industry:
Financial

Geo:
Brazil, Brazilian

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036, T1059.001, T1059.003, T1140, T1204.001, T1204.002, T1204.003, T1587.001, T1588.001

IOCs:
File: 7
Command: 3
Url: 1
IP: 3
Hash: 3
Domain: 65

Soft:
WhatsApp, Microsoft Defender, chrome, firefox, opera, chromium

Wallets:
electrum

Algorithms:
gzip, sha256, md5, aes, zip, cbc, sha1, base64

Win Services:
WebClient

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Исследователи CyberProof выявили связь между двумя бразильскими банковскими троянами, Maverick и Coyote, которые распространяются через WhatsApp. Оба штамма вредоносного ПО используют схожие многоступенчатые методы заражения, используя вредоносные сжатые файлы, которые выполняют команды PowerShell для нацеливания на банковские URL-адреса. Примечательно, что они специально ориентированы на бразильских пользователей и финансовые учреждения, что указывает на дублирование операций и меняющийся ландшафт угроз, потенциально усиливаемый достижениями в области искусственного интеллекта.
-----

Недавние исследования, проведенные исследователями CyberProof, выявили связь между двумя развивающимися бразильскими банковскими троянами, Maverick и Coyote, которые распространяются главным образом через приложение для обмена сообщениями WhatsApp. Анализ, начатый после выявления инцидентов, связанных с вредоносным ПО Maverick, показал многоэтапную цепочку заражения, в которой используются аналогичные методы, ранее отмеченные в кампании Coyote.

И Maverick, и Coyote имеют общие технические характеристики, включая методы заражения, которые начинаются с файлов Вредоносных ссылок, выполняющих команды PowerShell. Злоумышленники используют общий алгоритм шифрования для расшифровки целевых банковских URL-адресов, что указывает на уровень дублирования операций между двумя троянами. Оба штамма вредоносного ПО также ориентированы на одну и ту же демографическую группу, конкретно ориентируясь на бразильских пользователей и финансовые учреждения, и разрабатываются с использованием .СЕТЕВОЙ фреймворк.

В одном примечательном инциденте файл с надписью NEW-20251001_152441-PED_561BCF01.zip был загружен с веб-интерфейса WhatsApp, что позволяет предположить, что вредоносное ПО распространяется через общие файлы в потоках обмена сообщениями. Расследование CyberProof также выявило структурированную цепочку уничтожения атак, которая начинается с безобидных на вид архивированных файлов, за которыми следует выполнение скриптов PowerShell.

Исследователи предоставили подробный поисковый запрос, направленный на выявление загрузок из WhatsApp, которые могут привести к дальнейшим заражениям. Этот запрос фокусируется на отслеживании загрузок файлов с платформы обмена сообщениями и соотносит их с последующим выполнением команд PowerShell, потенциально выявляя вредоносную активность, связанную с вредоносным ПО.

Анализ показал, что Maverick влияет не только на пользователей бразильских банковских учреждений, но и на бразильский гостиничный бизнес. Кроме того, поведение вредоносного ПО указывает на возможность будущих итераций, основанных на достижениях искусственного интеллекта, что указывает на эволюционирующий ландшафт для этих киберугроз.

#ParsedReport #CompletenessHigh
11-11-2025

How RMM abuse fuelled Medusa & DragonForce attacks

https://zensec.co.uk/blog/how-rmm-abuse-fuelled-medusa-dragonforce-attacks/

Report completeness: High

Actors/Campaigns:
Dragonforce (motivation: financially_motivated)

Threats:
Medusa_ransomware
Simplehelp_tool
Dragonforce_ransomware
Rclone_tool
Restic_tool
Medusa_rootkit
Anydesk_tool
Abyssworker
Credential_harvesting_technique
Cobalt_strike_tool

Victims:
Managed service providers, Software suppliers, Customer environments, Uk organisations

CVEs:
CVE-2024-57726 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2024-57728 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2024-57727 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 6
Technics: 0

IOCs:
File: 17
IP: 3
Url: 2
Domain: 3
Hash: 6

Soft:
PDQ Deploy, Microsoft Defender, Windows Defender, PDQdeploy, Telegram, Hyper-V

Wallets:
wassabi

Algorithms:
base64, sha256

Functions:
Get-Veeam-Creds

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В начале 2025 года группы программ-вымогателей Medusa и DragonForce воспользовались уязвимостями в платформе SimpleHelp RMM (CVE-2024-57726, CVE-2024-57727, CVE-2024-57728), чтобы получить доступ к MSP и их клиентам. Тактика Medusa's включала эксфильтрацию данных через переименованный RClone, обнаружение сети для перемещения внутри компании и использование методов уклонения для отключения мер безопасности. DragonForce аналогичным образом использовала скомпрометированные инструменты RMM для установки дополнительного программного обеспечения для устойчивого доступа, иллюстрируя риски, связанные с незащищенными уязвимостями RMM.
-----

В начале 2025 года сообщалось о многочисленных инцидентах с программами-вымогателями, использующими уязвимости в платформе удаленного мониторинга и управления SimpleHelp (RMM), которая широко используется поставщиками управляемых услуг (MSP). Группы Medusa и DragonForce ransomware, в частности, использовали три специфические уязвимости (CVE-2024-57726, CVE-2024-57727 и CVE-2024-57728) для проникновения в клиентскую среду через скомпрометированные серверы RMM.

Группа Medusa ransomware возглавила скоординированную атаку, которая затронула многочисленные организации в Великобритании в течение первого квартала 2025 года. Злоумышленники получили первоначальный доступ, нацелившись на непатентованные или неправильно сконфигурированные экземпляры SimpleHelp, принадлежащие их поставщикам и MSP, эффективно используя эти инструменты в качестве шлюзов в сети нижестоящих клиентов. После первоначального компрометации эксфильтрация данных была осуществлена с использованием RClone, при этом перед шифрованием наблюдались скачки данных, а файлы позже всплыли на сайте утечки Medusa's Dark Web. Системы были зашифрованы с расширением ".MEDUSA", сопровождаемым записками о выкупе с именем "!!!READ_ME_MEDUSA!!!.txt.".

Атаки Medusa продемонстрировали стратегию, которая включала использование инструментов обнаружения сети, таких как netscan.exe для идентификации хостов и служб в скомпрометированных сетях, что позволяет осуществлять целенаправленное перемещение внутри компании в направлении критически важных активов. Акторы часто поддерживали доступ, создавая дополнительные каналы удаленного управления. На этапе эксфильтрации данных RClone был хитроумно переименован, чтобы избежать обнаружения, и сконфигурирован для выбора файлов на основе определенных критериев, что позволило избежать передачи больших объемов данных. Кроме того, злоумышленники предприняли меры по удалению конфигурационных файлов RClone после эксфильтрации, что усложнило судебно-медицинское расследование.

Фаза шифрования была нацелена практически на все онлайн-системы в сетевых средах и выполнялась либо вручную, либо с помощью таких инструментов, как PDQdeploy. Злоумышленники использовали многочисленные тактики уклонения, включая скрипты PowerShell для отключения решений безопасности и особенно известный драйвер, идентифицированный аналитиками безопасности как Abyssworker, чтобы препятствовать обнаружению традиционными антивирусными продуктами.

После шифрования Medusa использовала модель двойного вымогательства, перечисляя организации-жертвы на своем сайте утечки данных и предоставляя данные, подтверждающие их существование, включая скриншоты и файловые деревья, используя их в качестве рычага воздействия на жертв.

Аналогичным образом группа DragonForce использовала те же уязвимости в установках SimpleHelp RMM. Они использовали повышенные разрешения, полученные в результате этих компромиссов, для установки дополнительных инструментов, таких как AnyDesk, и создания локальных административных учетных записей для постоянного доступа и перемещения внутри компании в затронутых сетях. Эти операции подчеркивают значительный риск, связанный с непатентованными инструментами RMM, которые позволяют группам вымогателей закрепиться в безопасных в остальном средах.

#llm

Death by a Thousand Prompts: Open Model Vulnerability Analysis

https://arxiv.org/html/2511.03247v1

#technique

BOF Spawn - Process Injection

Cobalt Strike BOF for beacon/shellcode injection using fork & run technique with Draugr synthetic stack frames

https://github.com/NtDallas/BOF_Spawn/

#technique

SharpParty: Process Injection in C#

https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/sharpparty-process-injection-in-c/

#ParsedReport #CompletenessLow
12-11-2025

Payroll Pirates: The Widespread Malvertising Network

https://cyberint.com/blog/threat-intelligence/payroll-pirates-the-widespread-malvertising-network/

Report completeness: Low

Actors/Campaigns:
Payroll_pirates (motivation: financially_motivated)

Threats:
Credential_harvesting_technique
Cloaking_technique
Residential_proxy_technique

Victims:
Credit unions, Payroll platforms, Health care benefits platforms, Trading platforms, Financial institutions

Industry:
Telco, Healthcare, Retail

Geo:
Ukrainian, Kazakhstan, Ukraine

ChatGPT TTPs:
do not use without manual check
T1020, T1027, T1036, T1056.003, T1090, T1111, T1204.001, T1566.002, T1583.001, T1583.003, have more...

IOCs:
File: 4
Url: 3

Soft:
Twitter, telegram, Microsoft ad

Languages:
php

#ParsedReport #ExtractedSchema

Classified images:
code: 6, table: 1, windows: 1, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания "Payroll Pirates", действующая с мая 2023 года, использует Вредоносную рекламу через Google и Microsoft Ads, чтобы направлять пользователей на сайты фишинга, выдающие себя за программное обеспечение для расчета заработной платы, связанные с русскоязычными злоумышленниками. Операция включает в себя кластеры, использующие различные домены для сбора учетных данных, реализующие передовые методы, такие как обход 2FA. Технические показатели включают использование законных рекламных аккаунтов наряду с мошенническими и скомпрометированные IP-адреса резидентов США, демонстрирующие высокий уровень изощренности в таргетинге на финансовые учреждения.
-----

Кампания "Payroll Pirates", действующая как минимум с мая 2023 года, использует стратегию Вредоносной рекламы для перенаправления пользователей через рекламу Google и Microsoft на сайты фишинга Маскировки под платформы программного обеспечения для расчета заработной платы. Кампания характеризуется множеством различных групп акторов, каждый из которых использует уникальные методы регистрации доменов и инфраструктуру, но преследует общую цель сбора учетных данных с помощью вредоносной рекламы. Ключевые показатели указывают на то, что за операцией стоят русскоязычные злоумышленники, а сходство в наборах для фишинга, используемых разными группами, указывает либо на общий набор инструментов, либо на откол от общего источника.

По состоянию на июнь 2024 года злоумышленники усовершенствовали свои методы. Они внедрили надежный механизм обхода 2FA, позволяющий им запрашивать одноразовые коды у жертв при попытке входа в систему. Злоумышленники быстро приспособились к сбоям в своей инфраструктуре и в конечном итоге разработали свою кампанию, направленную на эффективное скрытие трафика через внутренние серверы без видимой центральной точки. К концу 2023 года первоначальная активность прекратилась, но в сентябре 2025 года наблюдался значительный всплеск, что вызвало расследование, которое выявило общую координацию в различных секторах, таких как кредитные союзы и медицинские пособия, с помощью централизованного Telegram-бота для ответов 2FA.

Были определены два основных кластера: в одном в основном используются объявления Google с замаскированными перенаправлениями, а в другом - объявления Bing со случайно сгенерированными URL-адресами. Кластер Google Ads, как правило, использует домены с массовой регистрацией, часто скрытые за сервисами CDN, в то время как кластер Bing ориентирован на финансовые учреждения, предлагая индивидуальный подход, основанный на процессах проверки рекламных сетей.

Технические замечания, сделанные в ходе кампании, указывают на использование проверенных рекламных аккаунтов, которые соседствуют с законной рекламой, что подразумевает возможную кражу аккаунта или перепродажу. IP-адреса, связанные с кампанией, были отслежены до подключений к жилым домам в США, что позволило выявить потенциально скомпрометированные потребительские маршрутизаторы, оснащенные протоколом PPTP, что указывает на сложный метод обфускации и анонимности в Интернете.

Эволюционирующий характер кампании "Payroll Pirates" подчеркивает растущую изощренность и адаптивность финансово мотивированных хакерских группировок в киберпространстве, использующих комбинацию фишинговых данных и передовых технологических стратегий для использования уязвимостей, нацеленных на финансовые организации.

#ParsedReport #CompletenessLow
12-11-2025

Report Title: Quick Overview of CLOBELSECTEAM: #OpJapan Campaign

https://s2w.inc/en/resource/detail/953

Report completeness: Low

Actors/Campaigns:
Clobelsecteam (motivation: hacktivism, information_theft)
Operation_japan (motivation: hacktivism, information_theft)
Hezi_rash

Threats:
Residelocker

Victims:
Government, Military, Aviation, Energy, Healthcare, Research, Microsoft japan, Biglobe, Pikara, Idc frontier, have more...

Industry:
Military, Government, Aerospace, Healthcare, Energy

Geo:
North korea, United kingdom, Ukraine, Italy, Russia, Japanese, Indonesia, Kurdish, Chinese, Russian, Japan, Vietnam, France, China

ChatGPT TTPs:
do not use without manual check
T1585, T1587, T1588

Soft:
Telegram, Twitter, Instagram

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
CLOBELSECTEAM, хактивистская группа, появившаяся в июне 2025 года, нацелена на различные секторы, включая правительство и энергетику, используя кибератаки и продажу данных для получения финансовой выгоды. Их агрессивная кампания #OpJapan, запущенная 1 октября 2025 года, включала взломы важных объектов, включая предполагаемые атаки на японские ядерные объекты, с использованием вредоносного ПО ResideLocker и продажей украденных данных. Их операции подчеркивают тенденцию сочетания политических и финансовых мотивов при взломе, что, в частности, создает существенную угрозу кибербезопасности Японии.
-----

CLOBELSECTEAM - это хактивистская группа, появившаяся в июне 2025 года, известная тем, что нацелена на различные секторы, включая правительство, вооруженные силы, авиацию и энергетику. Эта группа не только занимается кибератаками, но и фокусируется на финансовом аспекте этих операций путем раскрытия и продажи конфиденциальных данных. Их операционный след простирается за пределы Китая, имея связи с Россией, Северной Кореей и Вьетнамом, что предполагает более широкую международную повестку дня. Группа общается в основном на китайском, русском и английском языках и нацелилась на множество стран, в том числе на Японию, Соединенные Штаты и несколько европейских стран.

Кампания #OpJapan, инициированная CLOBELSECTEAM, отличается особой агрессивностью и отмечена серией кибератак, направленных на японские учреждения. Начиная с 1 октября 2025 года, кампания была отмечена их сообщениями через Telegram, первоначально связанными с другой группой, Black Force. В течение октября CLOBELSECTEAM заявляла о взломе важных объектов, включая предполагаемую кражу данных из японских исследовательских центров по ядерному синтезу и известных ИТ-компаний, таких как Microsoft Japan. Они утверждали, что в этих операциях использовалось вредоносное ПО ResideLocker, а заявленные цены за украденные данные варьировались от 1500 до 3000 долларов.

График работы этой группы раскрывает стратегический подход к кибероперациям, демонстрируя их возможности по эксфильтрации данных из множества соответствующих секторов. К концу октября они запросили ответы от различных правительственных и научно-исследовательских институтов, хотя было подтверждено, что многие из просочившихся документов имеют открытый исходный код или общедоступны. Взаимодействие с группой Hezi Rash 8 октября еще раз подчеркивает их тактику сотрудничества, потенциально усиливая их воздействие.

Методы CLOBELSECTEAM's указывают на четкую ориентацию на сбои и финансовую выгоду за счет хакерских атак, что делает их заметной угрозой для международных систем кибербезопасности, особенно в Японии, где их деятельность активизировалась. Их стратегическое использование вредоносного ПО и последующая продажа данных свидетельствуют о растущей тенденции среди групп хактивистов сочетать политические мотивы с финансовым вымогательством в цифровой сфере.

#ParsedReport #CompletenessMedium
12-11-2025

CVE-2025-21042: Samsung Galaxy Zero-Day Exploited in LANDFALL Spyware Campaign

https://socradar.io/cve-2025-21042-samsung-galaxy-0day-landfall-spyware/

Report completeness: Medium

Threats:
Landfall

Victims:
Mobile users, Samsung galaxy users

Industry:
Government

Geo:
Iran, Morocco, Middle east, Iraq, Turkey

CVEs:
CVE-2025-43300 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-21042 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-55177 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-21043 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036, T1105, T1203, T1204.002, T1548.003, T1566.002

IOCs:
Hash: 12
File: 6
IP: 6
Domain: 4

Soft:
WhatsApp, Android, SELinux

Algorithms:
zip, sha256

Platforms:
apple

#ParsedReport #ExtractedSchema

Classified images:
windows: 2, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
CVE-2025-21042 является критической уязвимостью в libimagecodec.quram.so библиотека устройств Samsung Galaxy, набравшая 9,8 баллов по CVSS и активно эксплуатируемая шпионской кампанией LANDFALL, которая нацелена на флагманские модели, такие как Galaxy S22, S23 и Z Flip4, в основном в таких регионах, как Ирак и Иран. В этой кампании используются передовые методы и общие объектные файлы, что указывает на высокий уровень сложности, и является частью тенденции мобильной эксплуатации, связанной с уязвимостями в анализаторах мультимедиа. Ландшафт угроз отражает растущие риски, связанные с обработкой мультимедийных данных в приложениях обмена сообщениями.
-----

CVE-2025-21042 является критической уязвимостью системы безопасности, выявленной в libimagecodec.quram.so библиотека, используемая устройствами Samsung Galaxy для декодирования изображений. Эта уязвимость с оценкой CVSS 9,8 была подтверждена как активно эксплуатируемая в дикой природе, что привело к ее включению в каталог известных эксплуатируемых уязвимостей (KEV) Агентства по кибербезопасности и инфраструктурной безопасности (CISA). Использование этой уязвимости, в частности, связано со шпионской кампанией LANDFALL, которая специально нацелена на флагманские модели смартфонов Samsung, такие как Galaxy S22, S23, S24, Z Fold4 и Z Flip4.

Кампания "LANDFALL", по-видимому, сосредоточена на регионах, включая Ирак, Иран, Турцию и Марокко, которые часто ассоциируются с деятельностью по наблюдению, спонсируемой государством. Исследователи отметили, что инфраструктура и тактика, используемые в этой кампании, отражают те, которые обычно используются коммерческими поставщиками шпионских программ на Ближнем Востоке, хотя окончательная атрибуция остается неясной.

CVE-2025-21042 демонстрирует более широкую тенденцию в использовании мобильных устройств, направленную на устранение уязвимостей в сложных медиапарсерах, которые обрабатывают изображения в таких приложениях, как обмен сообщениями и фотогалереи. Предыдущие инциденты, произошедшие в период с 2024 по 2025 год, аналогичным образом продемонстрировали растущую уязвимость мобильных платформ.

Чтобы смягчить воздействие CVE-2025-21042, пользователям рекомендуется обновить свои устройства до последней версии прошивки, в частности, убедившись, что их программное обеспечение соответствует или превосходит версию обновления безопасности от апреля 2025 года. Также рекомендуется обновить приложения для обмена сообщениями, в частности WhatsApp, и отключить автоматическую загрузку мультимедиа, чтобы уменьшить потенциальную подверженность файлам с Вредоносными образами. Пользователи должны сохранять бдительность в отношении признаков компрометации, таких как ненормальный разряд батареи или неожиданная передача данных.

Шпионская кампания LANDFALL включает в себя различные вредоносные компоненты, включая несколько общих объектных файлов (b.so ) и манипулятивная политика SELinux, которая предполагает значительную техническую изощренность. В число Вредоносных файлов, обнаруженных в ходе кампании, входят изображения, распространяемые через WhatsApp и другие платформы, что усиливает необходимость соблюдения пользователями правил безопасности при использовании своих приложений и управлении устройствами.

#ParsedReport #CompletenessMedium
12-11-2025

Backdoor malware with a legitimate signature is being distributed disguised as a Steam cleanup tool.

https://asec.ahnlab.com/ko/90915/

Report completeness: Medium

Threats:
Trojan/js.proxyware.sc295915

Victims:
Steam users

Industry:
Entertainment

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036, T1059.007, T1071.001, T1553.002

IOCs:
Url: 3
Path: 7
File: 16
Domain: 5
Hash: 2

Soft:
Steam, SteamCleaner, Node.js, InnoSetup, task scheduler

Algorithms:
md5, gzip, deflate

Functions:
TaskScheduler

Win Services:
VGAuthService

Languages:
powershell

Platforms:
x64