招待状などを装ったフィッシングで正規のRMMツールをインストールさせるキャンペーンについて、80以上の組織に影響が及んでいたとする調査報告が公開されています。 以前ポストしたSILENTCONNECTと手口が重なる部分が多く、関連の可能性があるキャンペーンです。 主な配布対象はLogMeIn Resolve（旧GoToResolve）で、2025年4月頃から米国を中心に活動が続いているとのこと。 大半のケースではRMMのインストール後に目立った行動はなく、初期アクセスの確保だけを目的とするブローカー的な活動の可能性が指摘されています。 ただし2件では二次段階に進んでおり、マウスカーソルを透明化するユーティリティで画面操作を被害者から隠しつつ、情報窃取マルウェアを展開していたとのこと。 RMM悪用のキャンペーンが続いていますので、許可していないRMMが環境内に存在しないか、あらためての確認を。 【要点の整理】 ・出典はSophos MDRチームの報告（STAC6405として追跡）。Red Canaryなど他の研究者による類似キャンペーンの報告とも一部の知見を相互に裏付ける内容とされる ・フィッシングメールはPunchbowlのイベント招待状や入札案内を装い、攻撃者の管理下にあるアカウントへ事前登録済みのLogMeIn Resolveインストーラをダウンロードさせる。侵害済みの第三者アカウントから送信されるケースも確認 ・配布サイトはMicrosoft TeamsやNortonなどブランドテーマを切り替えながら運用 ・二次段階の1件では、HeartCryptで梱包された実行ファイルが既存のScreenConnect経由で投下された。マウスカーソルを透明化するHideMouse[.]exeと、正規バイナリに悪性コードを注入したインフォスティーラーが含まれる ・このインフォスティーラーは起動後4〜9分間アイドル状態を維持してサンドボックス検知を回避し、その後csc[.]exe（正規のMicrosoft実行ファイル）にコードを注入。ブラウザ保存の認証情報やセッション情報、暗号資産ウォレットのデータを収集する動作が確認されている ・もう1件ではScreenConnectに加えSimpleHelp（いずれも正規RMM）をバンドルした構成が使われており、攻撃者が銘柄を問わず複数のRMMを使い分けている様子がうかがえる 報告時点でフィッシングインフラの一部はまだ稼働中とされており、同キャンペーンの活動は継続している模様です。 sophos.com/en-us/blog/incide…

The Shanya crypter — already favored by ransomware groups and taking over (to some degree) the role that HeartCrypt has played in the ransomware toolkit. news.sophos.com/en-us/2025/1…

Sophos X-Ops analyses Shanya, a packer-as-a-service favoured by ransomware groups and starting to replace HeartCrypt in their toolkits. The report traces its underground origins, unpacks its code, and examines a targeted infection using the service. news.sophos.com/en-us/2025/1…

The commercial packer that lets ransomware groups kill your EDR 😵‍💫HeartCrypt bundles ransomware with EDR-disabling drivers (many signed with revoked or stolen certificates) and keeps evolving as vendors chase it. Groups like MedusaLocker, RansomHub, and BlackSuit are already using it in active campaigns, including the SimpleHelp RCE (CVE-2025-0282). Our team at MagicSword has been tracking this campaign, building on the initial research by Gábor Szappanos and Steeve Gaudreault from @sophos. What we’re seeing now is alarming: these attacks reach full compromise in under 30 minutes. We’re tracking it live. Defend by blocking certificates, not just hashes. Check out the article here: linkedin.com/pulse/heartcryp… #HeartCrypt #EDREvasion #Ransomware #CyberSecurity #MagicSword #ThreatIntel

Outil furtif EDR Killer : partagé entre plusieurs groupes de ransomware, ce programme neutralise les principaux antivirus et EDR grâce au chiffrement HeartCrypt et à des certificats volés, offrant aux gangs un arsenal commun pour préparer leurs attaques. datasecuritybreach.fr/un-edr…

【EDRキラー共有】8つの異なるランサムウェアグループが、新たなEDR（エンドポイント検出・対応）無効化ツールを共有して使用していることが判明した。このツールはRansomHubが開発した「EDRKillShifter」の進化版と考えられており、セキュリティ製品を無効化する高度な機能を持つ。 Sophosのセキュリティ研究者によると、この名称未定の新ツールは、RansomHub、Blacksuit、Medusa、Qilin、Dragonforce、Crytox、Lynx、INCという8つのランサムウェアグループで使用が確認されている。これらのツールは、侵害されたシステム上でセキュリティ製品を無効化し、ペイロードの展開、権限昇格、横方向移動、そして最終的にネットワーク上のデバイスの暗号化を検知されずに実行することを可能にする。 このEDRキラーの技術的特徴は高度である。実行時に自己復号化される高度に難読化されたバイナリを使用し、正規のアプリケーションに注入される。ツールは実行ファイルにハードコードされたランダムな5文字の名前を持つデジタル署名されたドライバー（盗まれたか期限切れの証明書）を検索する。 発見されると、悪意のあるドライバーがカーネルにロードされる。これは「BYOVD（Bring Your Own Vulnerable Driver）」攻撃を実行し、セキュリティ製品を無効化するために必要なカーネル権限を取得するために必要である。ドライバーはCrowdStrike Falcon Sensor Driverなどの正規ファイルに偽装されるが、アクティブになるとAV/EDR関連のプロセスを終了し、セキュリティツールに関連するサービスを停止する。 標的となるベンダーは広範囲にわたる：Sophos、Microsoft Defender、Kaspersky、Symantec、Trend Micro、SentinelOne、Cylance、McAfee、F-Secure、HitmanPro、Webroot。これらの主要なセキュリティベンダーが軒並み標的となっている。 新しいEDRキラーツールの亜種は、ドライバー名、標的となるAV、ビルド特性において異なるが、すべてパッキングにHeartCryptを使用している。証拠は、競合する脅威グループ間でも知識とツールの共有が行われていることを示唆している。 Sophosは特に、このツールが流出して他の脅威アクターによって再利用された可能性は低く、むしろ共有された協力的なフレームワークを通じて開発されていると指摘している。「明確にしておくと、EDRキラーの単一のバイナリが流出して脅威アクター間で共有されたわけではない。代わりに、各攻撃は独自のツールビルドを使用していた」とSophosは説明している。 このようなツール共有の戦術は、特にEDRキラーに関しては、ランサムウェア界隈では一般的である。EDRKillShifterとは別に、SophosはMedusa LockerとLockBitが攻撃で使用した「AuKill」という別のツールも発見している。さらに、SentinelOneは昨年、FIN7ハッカーがカスタム「AvNeutralizer」ツールをBlackBasta、AvosLocker、MedusaLocker、BlackCat、Trigona、LockBitを含む複数のランサムウェアグループに販売していることを報告している。 この新たな脅威は、ランサムウェアグループ間の協力関係の深化と、セキュリティ製品を無効化する技術の急速な進化を示している。組織は、カーネルレベルの保護強化と、異常なドライバーロードの監視を含む多層防御の実装が急務となっている。 bleepingcomputer.com/news/se…

💀La campaña reciente de Blind Eagle utiliza archivos maliciosos con extensión .URL que, al ser manipulados de cualquier forma (clic derecho, eliminación, arrastre o apertura), generan una solicitud WebDAV, alertando a los ciberdelincuentes sobre la actividad en el sistema. 😲Si la víctima abre el archivo, se ejecuta un proceso que descarga una carga útil empaquetada con HeartCrypt, la cual inyecta RemcosRAT en csc.exe. Además, el RAT puede actuar como descargador, obteniendo una URL que aloja el archivo malicioso y posteriormente se inyecta en procesos legítimos como MSBuild.exe o InstallUtil.exe, lo que dificulta su detección y análisis. 👉 Más información: lnkd.in/eunyWZVX 💀#RemcosRAT 🧩#Keylogging🛡️#Ciberseguridad

Windows malware sample: "rocketrumble_setup.rar" (818.8MB) > tria.ge/250325-zrkj1ssvdw. ▪️ "CHENGDU YIWO Tech Development Co., Ltd." signed, "rocketrumble_main.exe" PDB: "C:\Users\admin\Desktop\AliyunLog-2017\UserInfoCollect\x64\Release\AliyunWrapExe.pdb" (bazaar.abuse.ch/sample/c2972…) 🤔 ▪️ "AliyunWrap.dll" PDB: "C:\Users\vboxuser\Downloads\SCBypass\AliyunWrap\x64\Release\AliyunWrap.pdb" (bazaar.abuse.ch/sample/9632b…). #Rhadamanthys (packed with #HeartCrypt). C2: hxxps://alfa-communication[.]com/f96fa30b9bc142e9d5c/ie2scj3f.m2e4b Additional domains: - swdbtc[.]xyz - astriia[.]com

Check Point researchers analyse a series of ongoing Blind Eagle (APT-C-36) campaigns targeting Colombian institutions & government entities since November 2024. Blind Eagle uses HeartCrypt & a .NET PureCrypter variant, and Remcos RAT. research.checkpoint.com/2025…

The latest #HeartCrypt update removes position-independent code (PIC) from a PE file's resource data and now stores the payload as 2 XOR-encrypted blocks, with keys hidden after a fake BMP header. More info at bit.ly/408EZHC #TimelyThreatIntel #Unit42ThreatIntel

Research into the unique byte patterns within #PaaS #HeartCrypt samples led to identification of thousands of samples dating back to mid-2023. This dataset allowed us to uncover several key discoveries about the packer's development and distribution. bit.ly/41yljiM

unit42 is one of the best cyber blog out there. The depth of their reports is incredible! Here, they give us a peek into HeartCrypt, a new packer-as-a-service (PaaS). unit42.paloaltonetworks.com/…

HeartCrypt: A Packer-as-a-Service Fueling Malware Campaigns securityonline.info/heartcry…

HeartCrypt: A Packer-as-a-Service Fueling Malware Campaigns Discover HeartCrypt, the powerful Packer-as-a-Service used by cybercriminals to protect malware from detection. securityonline.info/heartcry…

This is an interesting read by @PaloAltoNtwks HeartCrypt: Packer-as-a-Service unit42.paloaltonetworks.com/…

The latest article from Palo Alto Networks looks into a new packer-as-a-service (PaaS) called HeartCrypt, which is used to protect malware such as LummaStealer, Remcos & Rhadamanthys. unit42.paloaltonetworks.com/…

Unit 42 reports that the HeartCrypt Packer-as-a-Service has been linked to over 2,000 malicious payloads across 45 malware families since its emergence in early 2024. #CyberSecurity #Malware ift.tt/MXbVWJu

#HeartCrypt, a new #PaaS, packs malicious code with legitimate binaries. Advertised on Telegram and elsewhere, the low cost ($20/file) combined with support for multiple payload types makes it an attractive tool for bad actors with varying expertise: bit.ly/41yljiM

HeartCrypt: bypassare tutti gli antivirus in modo indisturbato ad un prezzo accessibile a tutti #redhotcyber #online #it #web #ai #hacking #privacy #cybersecurity #cybercrime #intelligence #intelligenzaartificiale #informationsecurity #ethicalhacking redhotcyber.com/post/heartcr…