CTT Report Hub
#ParsedReport #CompletenessLow 11-12-2025 Extortion-as-a-Service: The Latest Threat Actor Criminal Ecosystem https://levelblue.com/blogs/levelblue-blog/extortion-as-a-service-the-latest-threat-actor-criminal-ecosystem/ Report completeness: Low Actors/Campaigns:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Вымогательство как услуга (EAAs) эволюционировало от моделей программ-вымогателей с двойным вымогательством, разделив такие функции, как кража данных и ведение переговоров, на отдельные сервисы с момента своего появления примерно в 2018 году. К 2023-2025 годам EAAs созрела, позволив независимым злоумышленникам монетизировать свою репутацию в области вымогательства, предлагая такие услуги, как ведение переговоров и управление сайтами утечек. Используемые методы включают социальную инженерию и фишинг, при этом цены на услуги часто занижаются двузначными числами, что позволяет максимизировать вовлеченность и финансовую выгоду жертв.
-----
Вымогательство как услуга (EAAs) возникло в результате эволюции моделей программ-вымогателей с двойным вымогательством, которые сочетают кражу данных с шифрованием для создания различных источников дохода в сфере киберпреступности. Эта модель, запущенная примерно в 2018 году, была разработана для разделения таких функций, как кража данных, согласование и публичное раскрытие информации, на отдельные сервисы. Рост EAA означает созревание преступного мира, становясь устоявшейся структурой к 2023-2025 годам, что обусловлено экономическими факторами, такими как снижение ставок выплат жертвам.
Эта среда привела к появлению независимых злоумышленников, которые монетизируют свою репутацию грозных вымогателей, предлагая такие услуги, как переговоры, запугивание и управление сайтами утечек, в качестве самостоятельных продуктов. Более того, признанные преступные организации начали выдавать лицензии на свои бренды аффилированным лицам, тем самым усиливая воздействие своих усилий по вымогательству. Известные инициативы, такие как Scattered LAPSUS$ Hunters, подчеркивают переход к структурированной модели обслуживания, способствующей не только доступу к вредоносному ПО, но и брендингу, который присущ признанному вымогателю.
Операционные модели в рамках EAAs характеризуются тактикой, управляемой человеком, которая включает социальную инженерию, атаки фишинга и гибридные кампании. Эти методы позволяют операторам эффективно привлекать потенциальных жертв и использовать оперативные знания для получения максимальной финансовой выгоды. Структура ценообразования на эти услуги, как правило, соответствует простой модели, основанной либо на тарифах за один звонок, либо на продолжительности, обычно выражаемой нижними двузначными числами в валюте США.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Вымогательство как услуга (EAAs) эволюционировало от моделей программ-вымогателей с двойным вымогательством, разделив такие функции, как кража данных и ведение переговоров, на отдельные сервисы с момента своего появления примерно в 2018 году. К 2023-2025 годам EAAs созрела, позволив независимым злоумышленникам монетизировать свою репутацию в области вымогательства, предлагая такие услуги, как ведение переговоров и управление сайтами утечек. Используемые методы включают социальную инженерию и фишинг, при этом цены на услуги часто занижаются двузначными числами, что позволяет максимизировать вовлеченность и финансовую выгоду жертв.
-----
Вымогательство как услуга (EAAs) возникло в результате эволюции моделей программ-вымогателей с двойным вымогательством, которые сочетают кражу данных с шифрованием для создания различных источников дохода в сфере киберпреступности. Эта модель, запущенная примерно в 2018 году, была разработана для разделения таких функций, как кража данных, согласование и публичное раскрытие информации, на отдельные сервисы. Рост EAA означает созревание преступного мира, становясь устоявшейся структурой к 2023-2025 годам, что обусловлено экономическими факторами, такими как снижение ставок выплат жертвам.
Эта среда привела к появлению независимых злоумышленников, которые монетизируют свою репутацию грозных вымогателей, предлагая такие услуги, как переговоры, запугивание и управление сайтами утечек, в качестве самостоятельных продуктов. Более того, признанные преступные организации начали выдавать лицензии на свои бренды аффилированным лицам, тем самым усиливая воздействие своих усилий по вымогательству. Известные инициативы, такие как Scattered LAPSUS$ Hunters, подчеркивают переход к структурированной модели обслуживания, способствующей не только доступу к вредоносному ПО, но и брендингу, который присущ признанному вымогателю.
Операционные модели в рамках EAAs характеризуются тактикой, управляемой человеком, которая включает социальную инженерию, атаки фишинга и гибридные кампании. Эти методы позволяют операторам эффективно привлекать потенциальных жертв и использовать оперативные знания для получения максимальной финансовой выгоды. Структура ценообразования на эти услуги, как правило, соответствует простой модели, основанной либо на тарифах за один звонок, либо на продолжительности, обычно выражаемой нижними двузначными числами в валюте США.
#ParsedReport #CompletenessLow
11-12-2025
Cato CTRL Threat Research: A Deep Dive into a New JSCEAL Infostealer Campaign
https://www.catonetworks.com/blog/cato-ctrl-deep-dive-into-new-jsceal-infostealer-campaign/
Report completeness: Low
Threats:
Jsceal
Victims:
Cryptocurrency users
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1027, T1059.001, T1071.001, T1105, T1583.001
IOCs:
Domain: 47
File: 6
Hash: 4
Algorithms:
zip
Languages:
powershell
11-12-2025
Cato CTRL Threat Research: A Deep Dive into a New JSCEAL Infostealer Campaign
https://www.catonetworks.com/blog/cato-ctrl-deep-dive-into-new-jsceal-infostealer-campaign/
Report completeness: Low
Threats:
Jsceal
Victims:
Cryptocurrency users
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1027, T1059.001, T1071.001, T1105, T1583.001
IOCs:
Domain: 47
File: 6
Hash: 4
Algorithms:
zip
Languages:
powershell
Cato Networks
Cato CTRL™ Threat Research: A Deep Dive into a New JSCEAL Infostealer Campaign
New threat research: Cato CTRL has spotted a new JSCEAL infostealer campaign from August with an upgraded C2 infrastructure and stealthier script engine
CTT Report Hub
#ParsedReport #CompletenessLow 11-12-2025 Cato CTRL Threat Research: A Deep Dive into a New JSCEAL Infostealer Campaign https://www.catonetworks.com/blog/cato-ctrl-deep-dive-into-new-jsceal-infostealer-campaign/ Report completeness: Low Threats: Jsceal…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
JSCEAL, расширенный Стиллер, ориентированных на пользователей криптовалют, превратилась в своего командования и управления (C2) инфраструктуры существенно с начала 2025. В августе 2025, смещаются к более простому методу с использованием одного слова доменных имен в разных доменах верхнего уровня и внедрен строгий контроль доступа, чтобы избежать обнаружения, блокирование не PowerShell пользователей-агентов. В PowerShell PowerShell, которые были переработаны для лучшего стелс, подчеркивая задачи по обнаружению этой Стиллер в условиях нормальной схемы движения.
-----
JSCEAL - это продвинутый стиллер информации, ориентированный на пользователей криптовалютных приложений, который значительно эволюционировал со времени своей первоначальной кампании в первой половине 2025 года. На раннем этапе кампании использовались механизмы командования и контроля (C2), использующие домены, названия которых состоят из нескольких слов, разделенных дефисом, и в основном опирающиеся на домены верхнего уровня .com. Эта стратегия позволила им разместить несколько поддоменов, создав универсальную инфраструктуру для своей деятельности.
В августе 2025 года операторы JSCEAL's обновили свою инфраструктуру C2, выбрав более оптимизированный подход с использованием доменных имен из одного слова — примеры включают "emberstolight.com ." Эта новая стратегия ввела более широкий спектр доменов верхнего уровня, таких как .org, .link и .net, предлагая системный подход к регистрации доменов, который обеспечивает быстрое масштабирование. Каждый новый домен C2 имеет единообразную структуру, последовательно включающую два поддомена: .faro и .api. Такая стандартизация указывает на продуманный, предсказуемый метод развертывания, который аналитики могут наблюдать во всей инфраструктуре новой кампании.
В обновленной инфраструктуре также реализованы строгие меры контроля доступа. Любой HTTP-запрос, в котором отсутствует пользовательский агент PowerShell, немедленно встречает ошибку HTTP 404, эффективно блокируя доступ из стандартных веб-браузеров и многих изолированных сред, которые могут использовать исследователи безопасности. Эта тактика значительно повышает скрытность JSCEAL's, усложняя усилия по обнаружению.
Более того, сценарий PowerShell, используемый в кампании, подвергся существенному рефакторингу. Во время перехода на новую инфраструктуру в августе 2025 года аналитики заметили обновленный загрузчик PowerShell и усовершенствованный build.zip посылка. В то время как JSCEAL работает тихо, не используя громких эксплойтов или уязвимостей, он оставил после себя идентифицируемые признаки, такие как частое подключение к жестко запрограммированному домену и постоянное использование PowerShell для связи со своими серверами C2.
Подводя итог, можно сказать, что кампания в августе 2025 года представляет собой тщательно продуманную эволюцию оперативной тактики JSCEAL с акцентом на скрытность и устойчивость. Операторы использовали законно выглядящую инфраструктуру, скрывая при этом свои вредоносные действия в рамках типичных схем трафика PowerShell. Этот продуманный подход подчеркивает проблемы обнаружения и смягчения последствий, которые создают современные стиллеры информации, такие как JSCEAL.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
JSCEAL, расширенный Стиллер, ориентированных на пользователей криптовалют, превратилась в своего командования и управления (C2) инфраструктуры существенно с начала 2025. В августе 2025, смещаются к более простому методу с использованием одного слова доменных имен в разных доменах верхнего уровня и внедрен строгий контроль доступа, чтобы избежать обнаружения, блокирование не PowerShell пользователей-агентов. В PowerShell PowerShell, которые были переработаны для лучшего стелс, подчеркивая задачи по обнаружению этой Стиллер в условиях нормальной схемы движения.
-----
JSCEAL - это продвинутый стиллер информации, ориентированный на пользователей криптовалютных приложений, который значительно эволюционировал со времени своей первоначальной кампании в первой половине 2025 года. На раннем этапе кампании использовались механизмы командования и контроля (C2), использующие домены, названия которых состоят из нескольких слов, разделенных дефисом, и в основном опирающиеся на домены верхнего уровня .com. Эта стратегия позволила им разместить несколько поддоменов, создав универсальную инфраструктуру для своей деятельности.
В августе 2025 года операторы JSCEAL's обновили свою инфраструктуру C2, выбрав более оптимизированный подход с использованием доменных имен из одного слова — примеры включают "emberstolight.com ." Эта новая стратегия ввела более широкий спектр доменов верхнего уровня, таких как .org, .link и .net, предлагая системный подход к регистрации доменов, который обеспечивает быстрое масштабирование. Каждый новый домен C2 имеет единообразную структуру, последовательно включающую два поддомена: .faro и .api. Такая стандартизация указывает на продуманный, предсказуемый метод развертывания, который аналитики могут наблюдать во всей инфраструктуре новой кампании.
В обновленной инфраструктуре также реализованы строгие меры контроля доступа. Любой HTTP-запрос, в котором отсутствует пользовательский агент PowerShell, немедленно встречает ошибку HTTP 404, эффективно блокируя доступ из стандартных веб-браузеров и многих изолированных сред, которые могут использовать исследователи безопасности. Эта тактика значительно повышает скрытность JSCEAL's, усложняя усилия по обнаружению.
Более того, сценарий PowerShell, используемый в кампании, подвергся существенному рефакторингу. Во время перехода на новую инфраструктуру в августе 2025 года аналитики заметили обновленный загрузчик PowerShell и усовершенствованный build.zip посылка. В то время как JSCEAL работает тихо, не используя громких эксплойтов или уязвимостей, он оставил после себя идентифицируемые признаки, такие как частое подключение к жестко запрограммированному домену и постоянное использование PowerShell для связи со своими серверами C2.
Подводя итог, можно сказать, что кампания в августе 2025 года представляет собой тщательно продуманную эволюцию оперативной тактики JSCEAL с акцентом на скрытность и устойчивость. Операторы использовали законно выглядящую инфраструктуру, скрывая при этом свои вредоносные действия в рамках типичных схем трафика PowerShell. Этот продуманный подход подчеркивает проблемы обнаружения и смягчения последствий, которые создают современные стиллеры информации, такие как JSCEAL.
#ParsedReport #CompletenessMedium
11-12-2025
OT Network Security Threats: Industrial Routers Under Attack
https://www.forescout.com/blog/ot-network-security-threats-industrial-routers-under-attack/
Report completeness: Medium
Actors/Campaigns:
Chaya_005 (motivation: hacktivism)
Twonet (motivation: hacktivism)
Water_barghest
Threats:
Rondodox
Redtail
Shadowv2
Residential_proxy_technique
Ngioweb
Mozi
Mirai
Victims:
Industrial control systems, Ot perimeter devices, Plcs, Hmi webserver, Industrial routers, Industrial firewall, Ip camera, Medical device, Small and medium business vpn routers
Industry:
Healthcare, Iot
Geo:
Israel, Poland, America
CVEs:
CVE-2024-12856 [Vulners]
CVSS V3.1: 7.2,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- four-faith f3x36_firmware (2.0)
CVE-2018-4063 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- sierrawireless airlink_es450_firmware (4.9.3)
CVE-2024-9474 [Vulners]
CVSS V3.1: 7.2,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- paloaltonetworks pan-os (<10.1.14, <10.2.12, <11.0.6, <11.1.5, <11.2.4)
CVE-2025-0108 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- paloaltonetworks pan-os (<10.1.14, <10.2.7, <11.1.2, <11.2.4, 10.2.8)
CVE-2024-0012 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- paloaltonetworks pan-os (10.2.0, 10.2.1, 10.2.2, 10.2.3, 10.2.4)
CVE-2020-8515 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- draytek vigor2960_firmware (1.3.1)
ChatGPT TTPs:
T1046, T1071.001, T1105, T1110, T1190, T1595
IOCs:
IP: 37
Url: 3
Soft:
Twitter, PAN OS, curl, busybox, UNIX
Languages:
php
11-12-2025
OT Network Security Threats: Industrial Routers Under Attack
https://www.forescout.com/blog/ot-network-security-threats-industrial-routers-under-attack/
Report completeness: Medium
Actors/Campaigns:
Chaya_005 (motivation: hacktivism)
Twonet (motivation: hacktivism)
Water_barghest
Threats:
Rondodox
Redtail
Shadowv2
Residential_proxy_technique
Ngioweb
Mozi
Mirai
Victims:
Industrial control systems, Ot perimeter devices, Plcs, Hmi webserver, Industrial routers, Industrial firewall, Ip camera, Medical device, Small and medium business vpn routers
Industry:
Healthcare, Iot
Geo:
Israel, Poland, America
CVEs:
CVE-2024-12856 [Vulners]
CVSS V3.1: 7.2,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- four-faith f3x36_firmware (2.0)
CVE-2018-4063 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- sierrawireless airlink_es450_firmware (4.9.3)
CVE-2024-9474 [Vulners]
CVSS V3.1: 7.2,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- paloaltonetworks pan-os (<10.1.14, <10.2.12, <11.0.6, <11.1.5, <11.2.4)
CVE-2025-0108 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- paloaltonetworks pan-os (<10.1.14, <10.2.7, <11.1.2, <11.2.4, 10.2.8)
CVE-2024-0012 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- paloaltonetworks pan-os (10.2.0, 10.2.1, 10.2.2, 10.2.3, 10.2.4)
CVE-2020-8515 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- draytek vigor2960_firmware (1.3.1)
ChatGPT TTPs:
do not use without manual checkT1046, T1071.001, T1105, T1110, T1190, T1595
IOCs:
IP: 37
Url: 3
Soft:
Twitter, PAN OS, curl, busybox, UNIX
Languages:
php
Forescout
OT Network Security Threats: Industrial Routers Under Attack
Industrial routers face escalating botnet attacks. Our honeypot analysis reveals emerging OT network security threats targeting edge devices.
CTT Report Hub
#ParsedReport #CompletenessMedium 11-12-2025 OT Network Security Threats: Industrial Routers Under Attack https://www.forescout.com/blog/ot-network-security-threats-industrial-routers-under-attack/ Report completeness: Medium Actors/Campaigns: Chaya_005…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Недавние оценки киберугроз в сетях операционных технологий (OT) указывают на большое количество попыток аутентификации с использованием брутфорса на промышленных маршрутизаторах, при этом SSH и Telnet являются наиболее целевыми протоколами. Был идентифицирован новый кластер активности, Chaya_005, ориентированный на снятие отпечатков пальцев с уязвимых периферийных устройств, демонстрирующий поведение, подобное ботнет, без успешной доставки полезной нагрузки. Анализ выявляет уязвимости, которые можно использовать в средах OT, подчеркивая потенциальные риски для критически важной инфраструктуры, связанные с постоянным сканированием и попытками неэтичного использования.
-----
Недавний анализ киберугроз, нацеленных на сети операционных технологий (OT), показывает, что значительное внимание уделяется промышленным маршрутизаторам и связанным с ними устройствам периметра. Исследование показало, что 72% сетевых запросов были попытками аутентификации с помощью брутфорса с помощью таких протоколов, как SSH и Telnet, в то время как на HTTP и HTTPS приходилось 24% запросов, в основном связанных с попытками использования эксплойтов и загрузкой вредоносного ПО. Оставшиеся 4% запросов касались различных других протоколов, включая SIP и DNS, преимущественно не имеющих отношения к контексту ресурсов OT из-за отсутствия ответа от целевых устройств.
Отчетливый анализ распространения вредоносного ПО привел к выявлению нового кластера активности, обозначенного как Chaya_005. Этот кластер иллюстрирует попытки получения отпечатков пальцев уязвимых периферийных устройств, и это постоянно наблюдалось в течение последних двух лет, демонстрируя аналогичное поведение на нескольких IP-адресах и нацеливаясь на различные конечные точки, а не только на устройства одного поставщика. Анализ полезной нагрузки этих запросов выявляет сигнатуру, типичную для действий ботнет, хотя ни один файл не был успешно загружен с соответствующих серверов, что заставляет исследователей подозревать, что поведение может быть вызвано не известным злоумышленником или принадлежностью к национальному государству.
В рамках анализируемого периметра OT устройства включали три промышленных беспроводных маршрутизатора и промышленный брандмауэр различных производителей, а также четыре критически важных открытых ресурса, которые должны оставаться в автономном режиме, таких как ПЛК и HMI веб-сервера, которые были повреждены группой под названием TwoNet. Этот инцидент подчеркивает уязвимости, присущие средам OT, особенно когда критически важные компоненты инфраструктуры ненадлежащим образом подвергаются онлайн-угрозам.
Несмотря на всесторонний сбор данных, остается неясность в отношении мотивов и фактических последствий кластера Chaya_005. Хотя это может быть истолковано как незамерзающее сканирование исследователями или законными организациями, этот сценарий считается маловероятным в контексте наблюдаемого поведения, предполагающего потенциальные попытки неэтичной эксплуатации, нацеленные на уязвимые инфраструктуры OT. Постоянный характер этих атак и сохраняющаяся угроза целостности промышленных систем контроля требуют повышенной бдительности и упреждающих мер безопасности в области OT.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Недавние оценки киберугроз в сетях операционных технологий (OT) указывают на большое количество попыток аутентификации с использованием брутфорса на промышленных маршрутизаторах, при этом SSH и Telnet являются наиболее целевыми протоколами. Был идентифицирован новый кластер активности, Chaya_005, ориентированный на снятие отпечатков пальцев с уязвимых периферийных устройств, демонстрирующий поведение, подобное ботнет, без успешной доставки полезной нагрузки. Анализ выявляет уязвимости, которые можно использовать в средах OT, подчеркивая потенциальные риски для критически важной инфраструктуры, связанные с постоянным сканированием и попытками неэтичного использования.
-----
Недавний анализ киберугроз, нацеленных на сети операционных технологий (OT), показывает, что значительное внимание уделяется промышленным маршрутизаторам и связанным с ними устройствам периметра. Исследование показало, что 72% сетевых запросов были попытками аутентификации с помощью брутфорса с помощью таких протоколов, как SSH и Telnet, в то время как на HTTP и HTTPS приходилось 24% запросов, в основном связанных с попытками использования эксплойтов и загрузкой вредоносного ПО. Оставшиеся 4% запросов касались различных других протоколов, включая SIP и DNS, преимущественно не имеющих отношения к контексту ресурсов OT из-за отсутствия ответа от целевых устройств.
Отчетливый анализ распространения вредоносного ПО привел к выявлению нового кластера активности, обозначенного как Chaya_005. Этот кластер иллюстрирует попытки получения отпечатков пальцев уязвимых периферийных устройств, и это постоянно наблюдалось в течение последних двух лет, демонстрируя аналогичное поведение на нескольких IP-адресах и нацеливаясь на различные конечные точки, а не только на устройства одного поставщика. Анализ полезной нагрузки этих запросов выявляет сигнатуру, типичную для действий ботнет, хотя ни один файл не был успешно загружен с соответствующих серверов, что заставляет исследователей подозревать, что поведение может быть вызвано не известным злоумышленником или принадлежностью к национальному государству.
В рамках анализируемого периметра OT устройства включали три промышленных беспроводных маршрутизатора и промышленный брандмауэр различных производителей, а также четыре критически важных открытых ресурса, которые должны оставаться в автономном режиме, таких как ПЛК и HMI веб-сервера, которые были повреждены группой под названием TwoNet. Этот инцидент подчеркивает уязвимости, присущие средам OT, особенно когда критически важные компоненты инфраструктуры ненадлежащим образом подвергаются онлайн-угрозам.
Несмотря на всесторонний сбор данных, остается неясность в отношении мотивов и фактических последствий кластера Chaya_005. Хотя это может быть истолковано как незамерзающее сканирование исследователями или законными организациями, этот сценарий считается маловероятным в контексте наблюдаемого поведения, предполагающего потенциальные попытки неэтичной эксплуатации, нацеленные на уязвимые инфраструктуры OT. Постоянный характер этих атак и сохраняющаяся угроза целостности промышленных систем контроля требуют повышенной бдительности и упреждающих мер безопасности в области OT.
#ParsedReport #CompletenessMedium
11-12-2025
From Armillaria Loader to EDR Killer
https://www.threatlocker.com/blog/from-armillaria-loader-to-edr-killer
Report completeness: Medium
Threats:
Armillaria
Edr-killer
Akira_ransomware
Byovd_technique
Shadow_copies_delete_technique
Rclone_tool
Victims:
Endpoint security vendors, Organizations
Industry:
Healthcare
ChatGPT TTPs:
T1068, T1105, T1140, T1218.011, T1490, T1562.001
IOCs:
File: 2
Hash: 3
Soft:
ThrottleStop, PSExec
Algorithms:
sha256
11-12-2025
From Armillaria Loader to EDR Killer
https://www.threatlocker.com/blog/from-armillaria-loader-to-edr-killer
Report completeness: Medium
Threats:
Armillaria
Edr-killer
Akira_ransomware
Byovd_technique
Shadow_copies_delete_technique
Rclone_tool
Victims:
Endpoint security vendors, Organizations
Industry:
Healthcare
ChatGPT TTPs:
do not use without manual checkT1068, T1105, T1140, T1218.011, T1490, T1562.001
IOCs:
File: 2
Hash: 3
Soft:
ThrottleStop, PSExec
Algorithms:
sha256
Threatlocker
From Armillaria Loader to EDR Killer | ThreatLocker Blog
In the criminal sphere of ransomware, Akira is known for its abundance of victims and utilizing its opportunism to achieve its goals. The Threat Intelligence team has captured samples of both the Armillaria loader and the EDR killer used by Akira, and this…
CTT Report Hub
#ParsedReport #CompletenessMedium 11-12-2025 From Armillaria Loader to EDR Killer https://www.threatlocker.com/blog/from-armillaria-loader-to-edr-killer Report completeness: Medium Threats: Armillaria Edr-killer Akira_ransomware Byovd_technique Shadow…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В Akira Ransomware Group использует Armillaria loader, в частности, вариант, известный как "version.dll" чтобы доставить вредоносный код через "rundll32.exe". Второй этап компонент "owned2.dll," цели и отключает продукты для защиты конечных точек, используя два встроенных драйверов: "rwdrv.sys" привязанная к уязвимости в драйвере ThrottleStop TechPowerUp драйвер и неподписанный драйвер "hlpdrv.sys." Тактика группы включают отключение мер безопасности и прекращения процессов для развития их операций.
-----
Akira ransomware group продемонстрировала адаптивность в своей деятельности, используя Armillaria Loader и специальный EDR killer для нарушения мер безопасности во время атак. В анализ включены последние образцы Armillaria loader, в частности вариант с маркировкой "version.dll ," выявленный в конце ноября. Этот загрузчик действует как метод доставки, встраивая свою вредоносную полезную нагрузку и выполняя ее через "rundll32.exe "процесс. Динамический анализ выявляет наличие новых заголовков Windows PE и "магических байтов", указывающих на полезную нагрузку, что позволяет аналитикам извлечь и сохранить скопированный второй этап для дальнейшего изучения.
Второй этап, выполненный через скомпрометированный "rundll32.exe , "не соответствует ни одному из известных образцов и был распространен в сообществе безопасности под именем файла ".owned2.dll ." Этот компонент явно предназначен для нацеливания и завершения работы продуктов endpoint security. Два встроенных драйвера облегчают эту операцию: "rwdrv.sys , "связано с известной уязвимостью в драйвере ThrottleStop от TechPowerUp и неподписанным драйвером "hlpdrv.sys ," что помогает в прекращении процессов и служб безопасности.
В дополнение к тактике загрузчика и EDR killer, ThreatLocker Detect EDR известен своей способностью выявлять действия потенциальных операторов программ-вымогателей, включая установку вредоносных инструментов и попытки отключить протоколы безопасности. Эта система включает в себя функции контроля приложений, позволяющие организациям применять более строгие меры против несанкционированных приложений. Он поддерживает список разрешенных приложений для предотвращения запуска несанкционированных средств удаленного мониторинга и управления, а также других приложений высокого риска, связанных с уязвимостями. Для основного бизнес-программного обеспечения, которое считается высокорискованным, политики разрешений могут быть сконфигурированы с помощью кольцевой защиты, чтобы регулировать взаимодействие с системными ресурсами и минимизировать подверженность угрозам.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В Akira Ransomware Group использует Armillaria loader, в частности, вариант, известный как "version.dll" чтобы доставить вредоносный код через "rundll32.exe". Второй этап компонент "owned2.dll," цели и отключает продукты для защиты конечных точек, используя два встроенных драйверов: "rwdrv.sys" привязанная к уязвимости в драйвере ThrottleStop TechPowerUp драйвер и неподписанный драйвер "hlpdrv.sys." Тактика группы включают отключение мер безопасности и прекращения процессов для развития их операций.
-----
Akira ransomware group продемонстрировала адаптивность в своей деятельности, используя Armillaria Loader и специальный EDR killer для нарушения мер безопасности во время атак. В анализ включены последние образцы Armillaria loader, в частности вариант с маркировкой "version.dll ," выявленный в конце ноября. Этот загрузчик действует как метод доставки, встраивая свою вредоносную полезную нагрузку и выполняя ее через "rundll32.exe "процесс. Динамический анализ выявляет наличие новых заголовков Windows PE и "магических байтов", указывающих на полезную нагрузку, что позволяет аналитикам извлечь и сохранить скопированный второй этап для дальнейшего изучения.
Второй этап, выполненный через скомпрометированный "rundll32.exe , "не соответствует ни одному из известных образцов и был распространен в сообществе безопасности под именем файла ".owned2.dll ." Этот компонент явно предназначен для нацеливания и завершения работы продуктов endpoint security. Два встроенных драйвера облегчают эту операцию: "rwdrv.sys , "связано с известной уязвимостью в драйвере ThrottleStop от TechPowerUp и неподписанным драйвером "hlpdrv.sys ," что помогает в прекращении процессов и служб безопасности.
В дополнение к тактике загрузчика и EDR killer, ThreatLocker Detect EDR известен своей способностью выявлять действия потенциальных операторов программ-вымогателей, включая установку вредоносных инструментов и попытки отключить протоколы безопасности. Эта система включает в себя функции контроля приложений, позволяющие организациям применять более строгие меры против несанкционированных приложений. Он поддерживает список разрешенных приложений для предотвращения запуска несанкционированных средств удаленного мониторинга и управления, а также других приложений высокого риска, связанных с уязвимостями. Для основного бизнес-программного обеспечения, которое считается высокорискованным, политики разрешений могут быть сконфигурированы с помощью кольцевой защиты, чтобы регулировать взаимодействие с системными ресурсами и минимизировать подверженность угрозам.
#ParsedReport #CompletenessLow
11-12-2025
PyStoreRAT: A New AI-Driven Supply Chain Malware Campaign Targeting IT & OSINT Professionals
https://www.morphisec.com/blog/pystorerat-a-new-ai-driven-supply-chain-malware-campaign-targeting-it-osint-professionals/
Report completeness: Low
Threats:
Supply_chain_technique
Pystorerat
Rhadamanthys
Victims:
Information technology sector, Open source intelligence professionals
Geo:
Russian
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1036, T1059.007, T1102, T1195, T1218.005
Languages:
javascript
11-12-2025
PyStoreRAT: A New AI-Driven Supply Chain Malware Campaign Targeting IT & OSINT Professionals
https://www.morphisec.com/blog/pystorerat-a-new-ai-driven-supply-chain-malware-campaign-targeting-it-osint-professionals/
Report completeness: Low
Threats:
Supply_chain_technique
Pystorerat
Rhadamanthys
Victims:
Information technology sector, Open source intelligence professionals
Geo:
Russian
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1036, T1059.007, T1102, T1195, T1218.005
Languages:
javascript
Morphisec
PyStoreRAT: A New AI-Driven Supply Chain Malware Campaign Targeting IT & OSINT Professionals | Morphisec Blog
PyStoreRAT is redefining supply chain malware with AI-generated GitHub repos. Read the overview and get the full intelligence report.
CTT Report Hub
#ParsedReport #CompletenessLow 11-12-2025 PyStoreRAT: A New AI-Driven Supply Chain Malware Campaign Targeting IT & OSINT Professionals https://www.morphisec.com/blog/pystorerat-a-new-ai-driven-supply-chain-malware-campaign-targeting-it-osint-professionals/…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Вредоносная Кампания PyStoreRAT нацелена на специалистов в области ИТ и OSINT, используя репозитории GitHub в рамках скоординированной стратегии, которая начинается с безопасных репозиториев. В нем используется многоцелевой загрузчик с бэкдором JavaScript /HTA для скрытого долгосрочного доступа, сигнализирующий о передовой тактике в рамках угроз Цепочки поставок. Такой подход позволяет злоумышленникам сохранять необнаруженный контроль над скомпрометированными системами, демонстрируя эволюцию поведения вредоносного ПО.
-----
Morphisec Threat Labs выявила новую Вредоносную Кампанию под названием PyStoreRAT, которая использует репозитории GitHub для нацеливания на ИТ-специалистов и OSINT. Эта кампания отличается от типичных оппортунистических атак скоординированной стратегией. Первоначальные безопасные репозитории были созданы для того, чтобы завоевать популярность в сообществе, прежде чем злоумышленники тайно внедрили "поддерживающие" коммиты, которые активировали ранее недокументированный Backdoor.
PyStoreRAT работает как многоцелевой загрузчик, специально разработанный для обеспечения скрытности и гибкости при долгосрочном доступе к скомпрометированным системам. В отличие от многих прошлых угроз в Цепочке поставок, PyStoreRAT представляет собой эволюционный шаг в тактике вредоносного ПО, подчеркивающий более сложный подход к сохранению необнаруженного доступа с течением времени.
Методы вредоносного ПО включают в себя развертывание бэкдора JavaScript/HTA, который позволяет проводить скрытые операции и эффективно обходить типичные механизмы обнаружения. Поступая таким образом, злоумышленники могут контролировать скомпрометированные среды, не поднимая тревоги, что сигнализирует о значительном прогрессе в стратегиях вредоносного ПО, основанных на Цепочке поставок.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Вредоносная Кампания PyStoreRAT нацелена на специалистов в области ИТ и OSINT, используя репозитории GitHub в рамках скоординированной стратегии, которая начинается с безопасных репозиториев. В нем используется многоцелевой загрузчик с бэкдором JavaScript /HTA для скрытого долгосрочного доступа, сигнализирующий о передовой тактике в рамках угроз Цепочки поставок. Такой подход позволяет злоумышленникам сохранять необнаруженный контроль над скомпрометированными системами, демонстрируя эволюцию поведения вредоносного ПО.
-----
Morphisec Threat Labs выявила новую Вредоносную Кампанию под названием PyStoreRAT, которая использует репозитории GitHub для нацеливания на ИТ-специалистов и OSINT. Эта кампания отличается от типичных оппортунистических атак скоординированной стратегией. Первоначальные безопасные репозитории были созданы для того, чтобы завоевать популярность в сообществе, прежде чем злоумышленники тайно внедрили "поддерживающие" коммиты, которые активировали ранее недокументированный Backdoor.
PyStoreRAT работает как многоцелевой загрузчик, специально разработанный для обеспечения скрытности и гибкости при долгосрочном доступе к скомпрометированным системам. В отличие от многих прошлых угроз в Цепочке поставок, PyStoreRAT представляет собой эволюционный шаг в тактике вредоносного ПО, подчеркивающий более сложный подход к сохранению необнаруженного доступа с течением времени.
Методы вредоносного ПО включают в себя развертывание бэкдора JavaScript/HTA, который позволяет проводить скрытые операции и эффективно обходить типичные механизмы обнаружения. Поступая таким образом, злоумышленники могут контролировать скомпрометированные среды, не поднимая тревоги, что сигнализирует о значительном прогрессе в стратегиях вредоносного ПО, основанных на Цепочке поставок.
#ParsedReport #CompletenessMedium
11-12-2025
Technical Analysis of the BlackForce Phishing Kit
https://www.zscaler.com/blogs/security-research/technical-analysis-blackforce-phishing-kit
Report completeness: Medium
Threats:
Blackforce_tool
Man-in-the-browser_technique
Nmap_tool
Aitm_technique
Victims:
Multiple consumer brands users
Industry:
Telco
TTPs:
Tactics: 7
Technics: 7
IOCs:
File: 6
Domain: 13
Soft:
Telegram, Scripting Engine
Algorithms:
zip
Win API:
sendMessage
Languages:
javascript
Links:
11-12-2025
Technical Analysis of the BlackForce Phishing Kit
https://www.zscaler.com/blogs/security-research/technical-analysis-blackforce-phishing-kit
Report completeness: Medium
Threats:
Blackforce_tool
Man-in-the-browser_technique
Nmap_tool
Aitm_technique
Victims:
Multiple consumer brands users
Industry:
Telco
TTPs:
Tactics: 7
Technics: 7
IOCs:
File: 6
Domain: 13
Soft:
Telegram, Scripting Engine
Algorithms:
zip
Win API:
sendMessage
Languages:
javascript
Links:
https://github.com/faisalman/ua-parser-jsZscaler
Technical Analysis of the BlackForce Phishing Kit | ThreatLabz
Technical analysis of the BlackForce phishing kit with the ability to evade detection and bypass MFA.
CTT Report Hub
#ParsedReport #CompletenessMedium 11-12-2025 Technical Analysis of the BlackForce Phishing Kit https://www.zscaler.com/blogs/security-research/technical-analysis-blackforce-phishing-kit Report completeness: Medium Threats: Blackforce_tool Man-in-the-b…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Набор для фишинга BlackForce, обнаруженный в августе 2025 года, использует передовые методы, такие как Man-in-the-Browser (MitB), для обхода Многофакторной аутентификации. Он отличается быстрой адаптацией, включая переход к модели атаки с отслеживанием состояния для лучшего сохранения учетных данных, и динамически использует JavaScript с хэшами, разрушающими кэш, для скрытия операций. Работающие с помощью надежной Панели управления, расширяющиеся возможности BlackForce's создают значительные риски для крупных брендов из-за использования первоначального доступа с помощью фишинга и изощренной тактики уклонения.
-----
Набор для фишинга BlackForce, идентифицированный Zscaler ThreatLabZ в августе 2025 года, быстро эволюционировал и способен проводить сложные атаки, включая методы Man-in-the-Browser (MitB), которые могут обходить Многофакторную аутентификацию (MFA). С момента своего появления BlackForce выпустила по меньшей мере пять различных версий, ориентированных на такие крупные бренды, как Disney, Netflix, DHL и UPS. Набор продается в Telegram по цене от 200 до 300 долларов и известен своими гибкими методами атаки, которые постоянно разрабатываются.
Атака осуществляется по структурированной цепочке, начиная с идентификации целей, которые проверяются, прежде чем вмешается оперативный оператор для руководства атакой. Набор для фишинга использует отличительный подход JavaScript с использованием хэшей для перебора кэша, чтобы скрыть свое поведение, в то время как точкой входа обычно является безобидная на вид HTML-страница, которая загружает всю платформу. Связь между злоумышленником и скомпрометированной системой осуществляется с помощью Axios, популярного HTTP-клиента, который управляет всеми обменами данными. В более ранних версиях было несколько экземпляров Axios для взаимодействия с командой и управлением (C2), а более поздние версии объединили эти функции и перенесли эксфильтрацию Telegram на серверную сторону для лучшей закрепления.
Меры защиты от анализа, встроенные в BlackForce, повышают его долговечность за счет обнаружения взаимодействий, не связанных с человеком, с помощью базы данных сигнатур, которая тщательно изучает строки пользовательского агента. Этот защитный слой направлен на то, чтобы обойти автоматизированные механизмы безопасности. Значительным улучшением по сравнению с версиями 3 до версий 4 и 5 является переход от модели атаки без сохранения состояния к модели атаки с сохранением состояния, использующей sessionStorage браузера для сохранения украденных учетных данных при выполнении действий, снижая риски, связанные с потерей данных во время сценария атаки.
Панель C2 BlackForce является неотъемлемой частью ее работы, обеспечивая управление и контроль над взаимодействиями жертв в режиме реального времени. Быстрое изменение версий вредоносного ПО позволяет предположить, что адаптивный злоумышленник постоянно совершенствует свою тактику, чтобы обойти обнаружение и повысить оперативную безопасность. Такая адаптивность подчеркивает необходимость использования организациями архитектуры с нулевым доверием, ограничивающей доступ и сводящей к минимуму потенциальный ущерб в случае нарушения.
В контексте платформы MITRE ATT&CK BlackForce иллюстрирует ряд тактик, включая первоначальный доступ с помощью фишинга (T1566), уклонение от обнаружения (T1027) и получение учетных данных с помощью состязательных манипуляций (T1557). Более того, использование им Веб-сервисов для эксфильтрации (T1567) свидетельствует о тревожной тенденции. Эффективно организуя эти методы и поддерживая активный цикл разработки, BlackForce демонстрирует заметный ландшафт угроз, особенно для организаций, использующих традиционные методы аутентификации.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Набор для фишинга BlackForce, обнаруженный в августе 2025 года, использует передовые методы, такие как Man-in-the-Browser (MitB), для обхода Многофакторной аутентификации. Он отличается быстрой адаптацией, включая переход к модели атаки с отслеживанием состояния для лучшего сохранения учетных данных, и динамически использует JavaScript с хэшами, разрушающими кэш, для скрытия операций. Работающие с помощью надежной Панели управления, расширяющиеся возможности BlackForce's создают значительные риски для крупных брендов из-за использования первоначального доступа с помощью фишинга и изощренной тактики уклонения.
-----
Набор для фишинга BlackForce, идентифицированный Zscaler ThreatLabZ в августе 2025 года, быстро эволюционировал и способен проводить сложные атаки, включая методы Man-in-the-Browser (MitB), которые могут обходить Многофакторную аутентификацию (MFA). С момента своего появления BlackForce выпустила по меньшей мере пять различных версий, ориентированных на такие крупные бренды, как Disney, Netflix, DHL и UPS. Набор продается в Telegram по цене от 200 до 300 долларов и известен своими гибкими методами атаки, которые постоянно разрабатываются.
Атака осуществляется по структурированной цепочке, начиная с идентификации целей, которые проверяются, прежде чем вмешается оперативный оператор для руководства атакой. Набор для фишинга использует отличительный подход JavaScript с использованием хэшей для перебора кэша, чтобы скрыть свое поведение, в то время как точкой входа обычно является безобидная на вид HTML-страница, которая загружает всю платформу. Связь между злоумышленником и скомпрометированной системой осуществляется с помощью Axios, популярного HTTP-клиента, который управляет всеми обменами данными. В более ранних версиях было несколько экземпляров Axios для взаимодействия с командой и управлением (C2), а более поздние версии объединили эти функции и перенесли эксфильтрацию Telegram на серверную сторону для лучшей закрепления.
Меры защиты от анализа, встроенные в BlackForce, повышают его долговечность за счет обнаружения взаимодействий, не связанных с человеком, с помощью базы данных сигнатур, которая тщательно изучает строки пользовательского агента. Этот защитный слой направлен на то, чтобы обойти автоматизированные механизмы безопасности. Значительным улучшением по сравнению с версиями 3 до версий 4 и 5 является переход от модели атаки без сохранения состояния к модели атаки с сохранением состояния, использующей sessionStorage браузера для сохранения украденных учетных данных при выполнении действий, снижая риски, связанные с потерей данных во время сценария атаки.
Панель C2 BlackForce является неотъемлемой частью ее работы, обеспечивая управление и контроль над взаимодействиями жертв в режиме реального времени. Быстрое изменение версий вредоносного ПО позволяет предположить, что адаптивный злоумышленник постоянно совершенствует свою тактику, чтобы обойти обнаружение и повысить оперативную безопасность. Такая адаптивность подчеркивает необходимость использования организациями архитектуры с нулевым доверием, ограничивающей доступ и сводящей к минимуму потенциальный ущерб в случае нарушения.
В контексте платформы MITRE ATT&CK BlackForce иллюстрирует ряд тактик, включая первоначальный доступ с помощью фишинга (T1566), уклонение от обнаружения (T1027) и получение учетных данных с помощью состязательных манипуляций (T1557). Более того, использование им Веб-сервисов для эксфильтрации (T1567) свидетельствует о тревожной тенденции. Эффективно организуя эти методы и поддерживая активный цикл разработки, BlackForce демонстрирует заметный ландшафт угроз, особенно для организаций, использующих традиционные методы аутентификации.
#ParsedReport #CompletenessMedium
12-12-2025
REACT2SHELL: EXPLOITATION IN THE WILD
https://theravenfile.com/2025/12/12/react2shell-exploitation-in-the-wild/
Report completeness: Medium
Threats:
React2shell_vuln
Opendir_technique
Xmrig_miner
Supportxmr
Victims:
Web servers, React server components deployments, Next.js applications
Industry:
Financial, Foodtech, Entertainment, Healthcare
Geo:
Chinese, India
CVEs:
CVE-2025-55182 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- facebook react (19.0.0, 19.1.0, 19.1.1, 19.2.0)
ChatGPT TTPs:
T1036, T1059.007, T1071.001, T1190, T1496, T1543.002, T1583.006, T1595.002
IOCs:
Coin: 4
File: 5
IP: 532
Hash: 1
Soft:
systemd, OpenAI, Linux, lastpass
Wallets:
bybit
Crypto:
monero, binance, kucoin
Algorithms:
md5
Functions:
Set-Up
Win API:
arc
Languages:
javascript
Links:
have more...
12-12-2025
REACT2SHELL: EXPLOITATION IN THE WILD
https://theravenfile.com/2025/12/12/react2shell-exploitation-in-the-wild/
Report completeness: Medium
Threats:
React2shell_vuln
Opendir_technique
Xmrig_miner
Supportxmr
Victims:
Web servers, React server components deployments, Next.js applications
Industry:
Financial, Foodtech, Entertainment, Healthcare
Geo:
Chinese, India
CVEs:
CVE-2025-55182 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- facebook react (19.0.0, 19.1.0, 19.1.1, 19.2.0)
ChatGPT TTPs:
do not use without manual checkT1036, T1059.007, T1071.001, T1190, T1496, T1543.002, T1583.006, T1595.002
IOCs:
Coin: 4
File: 5
IP: 532
Hash: 1
Soft:
systemd, OpenAI, Linux, lastpass
Wallets:
bybit
Crypto:
monero, binance, kucoin
Algorithms:
md5
Functions:
Set-Up
Win API:
arc
Languages:
javascript
Links:
https://github.com/assetnote/react2shell-scannerhave more...
https://github.com/TheRavenFile/CVE-Intel/tree/main/REACT2SHELLTheravenfile
REACT2SHELL: EXPLOITATION IN THE WILD – THE RAVEN FILE
NOTE: This is not a technical breakdown of the React2Shell Vulnerability, as it’s already been covered by Trend Micro. This is currently unattributed to any known Threat Groups or APT Groups. During investigating React2Shell RCE Exploit (CVE-2025–55182)…
#ParsedReport #CompletenessMedium
11-12-2025
CyberVolk Returns \| Flawed VolkLocker Brings New Features With Growing Pains
https://www.sentinelone.com/blog/cybervolk-returns-flawed-volklocker-brings-new-features-with-growing-pains/
Report completeness: Medium
Actors/Campaigns:
Cybervolk (motivation: hacktivism, politically_motivated)
Threats:
Volklocker
Uac_bypass_technique
Cybervolk_ransomware
Shadow_copies_delete_technique
Industry:
Government
Geo:
Russian
TTPs:
Tactics: 1
Technics: 1
ChatGPT TTPs:
T1070.004, T1112, T1486, T1490
IOCs:
Registry: 7
Command: 4
Path: 1
File: 7
Hash: 3
Coin: 1
Soft:
Telegram, Linux, VirtualBox, Windows Defender
Crypto:
bitcoin
Algorithms:
aes-256
Functions:
backupMasterKey, triggerDestruction, SystemCorruptor, DestroySystem, NtRaiseHardError, telegramReporter
Win Services:
WinDefend
Languages:
powershell, golang, javascript
11-12-2025
CyberVolk Returns \| Flawed VolkLocker Brings New Features With Growing Pains
https://www.sentinelone.com/blog/cybervolk-returns-flawed-volklocker-brings-new-features-with-growing-pains/
Report completeness: Medium
Actors/Campaigns:
Cybervolk (motivation: hacktivism, politically_motivated)
Threats:
Volklocker
Uac_bypass_technique
Cybervolk_ransomware
Shadow_copies_delete_technique
Industry:
Government
Geo:
Russian
TTPs:
Tactics: 1
Technics: 1
ChatGPT TTPs:
do not use without manual checkT1070.004, T1112, T1486, T1490
IOCs:
Registry: 7
Command: 4
Path: 1
File: 7
Hash: 3
Coin: 1
Soft:
Telegram, Linux, VirtualBox, Windows Defender
Crypto:
bitcoin
Algorithms:
aes-256
Functions:
backupMasterKey, triggerDestruction, SystemCorruptor, DestroySystem, NtRaiseHardError, telegramReporter
Win Services:
WinDefend
Languages:
powershell, golang, javascript
SentinelOne
CyberVolk Returns | Flawed VolkLocker Brings New Features With Growing Pains
Deep dive into CyberVolk’s new VolkLocker ransomware-as-a-service, its major design flaw, and what it signals for cyber defenders.