Operation Tartaria Part 2
Помимо пассивного бэкдора
🫣 Как и в предыдущем случае, мы имеем дело с двухмодульным бэкдором. Коннектор внедряется в процесс
При успешном старте исследуемый образец подключается к блогу на
Помимо Yandex Disk, бэкдор поддерживает возможность общения через Microsoft Graph и Dropbox:
Общение происходит посредством чтения и перезаписи файлов в заданной папке в облаке. Сами файлы защищены шифром простой замены, а структура сообщений отличается в зависимости от выполняемой команды. Однако везде используется один и тот же
☝️ Примечательны следующие функции бэкдора:
• возможность получать шеллкоды и PE-файлы, внедряя их в процессы
• выполнение WMI-запросов для получения информации о системе:
• отключение всех сетевых соединений API WNetCancelConnection2W;
• изменение параметров входа в учетную запись или пароля через API NetUserSetInfo.
C2:
✅ Рекомендации:
• запрет DevTunnels с помощью групповой политики;
• поиск скрытых задач;
• поиск задач с параметром:
• поиск идентификатора
Happy hunting!
@ptescalator
#dfir #ti #apt #reverse #malware
Помимо пассивного бэкдора
PlugX, нам удалось обнаружить еще одну его версию, которая мимикрировала под запуск Яндекс Браузера.{"TaskId":"[REDACTED]","TaskName":"Yandexstart_Server","TaskRegistryPath":"\\Yandexstart_Server","TaskAuthor":"[REDACTED]","IsHiddenTask":false,"IsMissingOnFS":true,"Action":{"Context":"Author","Properties":[{"Id":"","ActionName":"Execution","Arguments":"-d restart","Command":"C:\\PROGRA~1\\Yandex\\browser\\Yandex.exe","WorkingDirectory":"","Flags":0}],"Version":3},"Triggers":[{"TriggerType":"Boot","Comment":"Boot"}],"CreatedTime":"2024-12-11T01:11:34Z","LastRunTime":"2025-06-23T06:37:17Z","LastErrorCode":1223,"Timeline":"2024-12-11T01:11:34Z"}
Yandex.exe оказался уязвимым для техники DLL Side-Loading, выполняемой утилитой Umdh.exe (User-Mode Dump Heap), которая подгружает вредоносную библиотеку dbghelp.dll под пакером VMProtect с кастомным названием секций; нагрузка хранится в файле desktop.ini.🫣 Как и в предыдущем случае, мы имеем дело с двухмодульным бэкдором. Коннектор внедряется в процесс
choice.exe, а интерпретатор команд — в mspaint.exe. Процессы общаются через pipe .\\PIPE\\[%d].При успешном старте исследуемый образец подключается к блогу на
livejournal.com (скриншот 1) и на ok.ru (скриншоты 2-3). Далее парсит содержимое ответа и ищет последовательность, которая начинается с R241223 и заканчивается на R251223 и внутри которой находится зашифрованный токен для API Yandex Disk. Далее коммуникация бэкдора происходит через API. Аналогичный образец был описан в «CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации».Помимо Yandex Disk, бэкдор поддерживает возможность общения через Microsoft Graph и Dropbox:
cloud-api.yandex.net
graph.microsoft.com
content.dropboxapi.com
Общение происходит посредством чтения и перезаписи файлов в заданной папке в облаке. Сами файлы защищены шифром простой замены, а структура сообщений отличается в зависимости от выполняемой команды. Однако везде используется один и тот же
header:0 2 6 10 14
| command | msg size | short answer | ticketcount |
☝️ Примечательны следующие функции бэкдора:
• возможность получать шеллкоды и PE-файлы, внедряя их в процессы
TSTheme.exe и msiexec.exe;• выполнение WMI-запросов для получения информации о системе:
SELECT * FROM Win32_OperatingSystem
SELECT * FROM Win32_TimeZone
SELECT * FROM Win32_ComputerSystem
SELECT * FROM Win32_QuickFixEngineering
• отключение всех сетевых соединений API WNetCancelConnection2W;
• изменение параметров входа в учетную запись или пароля через API NetUserSetInfo.
C2:
devtunnels.ms
https://anddes.livejournal.com/511.html
https://ok.ru/profile/587950172233/statuses/157023463517001
✅ Рекомендации:
• запрет DevTunnels с помощью групповой политики;
• поиск скрытых задач;
• поиск задач с параметром:
reg query "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks" /s | findstr "2D00720065006D006F0074006500200075007000"
reg query "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks" /s | findstr "2d00640020007200650073007400610072007400"
• поиск идентификатора
PlugX:reg query HKEY_LOCAL_MACHINE\SOFTWARE\Clients\Mail\cf
Happy hunting!
@ptescalator
#dfir #ti #apt #reverse #malware
❤17🔥17👍11⚡3🤡2🍌1
Во Всемирный день кошек самое время спросить: какие из них вам нравятся? 😊
Anonymous Poll
22%
cat ./passwords.txt 🐈
16%
hashcat -m 0 -a 0 hash.txt rockyou.txt 🐱
20%
mimiKATz 🐱
2%
zcat *.log.gz 🐱
16%
netcat 🐈
11%
suriCATa 😺
2%
Dark Caracal 😺
3%
Charming Kitten 😺
1%
Golden RAT (не люблю котов) 🐀
7%
HellHounds (я собачник) 🕺
😎8❤6👾5
Группа киберразведки PT ESC представила обзор кибератак за II квартал 2025 года ✍️
В отчете рассмотрены наиболее показательные атаки на ИТ-инфраструктуры российских госорганизаций и частных компаний.
🦉 За указанный период зафиксирована активность Team46, TA Tolik, Black Owl и других.
📩 Фишинговые кампании шли непрерывно от имени государственных структур и регуляторов. Использовались:
• Архивы с вредоносной нагрузкой, название и тема которых совпадали с содержанием письма;
• Документы с встроенными эксплойтами под известные уязвимости в офисных пакетах и системах ЭДО;
• Ссылки на облачные хранилища и файлообменники для обхода почтовых фильтров.
В ряде случаев применялась модель «отложенной доставки» полезной нагрузки после установления переписки (spear-phishing + социальная инженерия) и имитация деловой коммуникации для принуждения к открытию вложений.
💥 Ключевые тенденции:
1. Деструктивное применение шифровальщиков. Black Owl использует шифрование и вайпинг для максимального нарушения работоспособности инфраструктуры.
2. Монетизация через вымогательство. Werewolves и DarkGaboon задействуют шифровальщики в рамках выкупных схем, нередко после предварительной разведки и утечки данных (двойное давление).
3. Шпионаж с упором на скрытность. Cloud Atlas и PhantomCore нацелены на долговременное присутствие, сбор внутренних документов и учетных данных; применяются многоступенчатые загрузчики и приемы living-off-the-land для снижения заметности.
Полный отчет — в нашем блоге⬅️
#TI #APT #Malware #Phishing
@ptescalator
В отчете рассмотрены наиболее показательные атаки на ИТ-инфраструктуры российских госорганизаций и частных компаний.
🦉 За указанный период зафиксирована активность Team46, TA Tolik, Black Owl и других.
📩 Фишинговые кампании шли непрерывно от имени государственных структур и регуляторов. Использовались:
• Архивы с вредоносной нагрузкой, название и тема которых совпадали с содержанием письма;
• Документы с встроенными эксплойтами под известные уязвимости в офисных пакетах и системах ЭДО;
• Ссылки на облачные хранилища и файлообменники для обхода почтовых фильтров.
В ряде случаев применялась модель «отложенной доставки» полезной нагрузки после установления переписки (spear-phishing + социальная инженерия) и имитация деловой коммуникации для принуждения к открытию вложений.
💥 Ключевые тенденции:
1. Деструктивное применение шифровальщиков. Black Owl использует шифрование и вайпинг для максимального нарушения работоспособности инфраструктуры.
2. Монетизация через вымогательство. Werewolves и DarkGaboon задействуют шифровальщики в рамках выкупных схем, нередко после предварительной разведки и утечки данных (двойное давление).
3. Шпионаж с упором на скрытность. Cloud Atlas и PhantomCore нацелены на долговременное присутствие, сбор внутренних документов и учетных данных; применяются многоступенчатые загрузчики и приемы living-off-the-land для снижения заметности.
Полный отчет — в нашем блоге
#TI #APT #Malware #Phishing
@ptescalator
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥26👍12👌9❤4🤯1
Через фантомные выплаты к конфиденциальным данным 🫰
В июне мы выпустили статью про обнаруженные Exchange-кейлоггеры. На тот момент было выявлено девять компаний-жертв в России, но никакой атрибуции тогда мы не провели.
В июле этого года мы совершили прыжок во времени и вернулись в декабрь 2024-го. Исследование зафиксированной тогда атаки позволило связать ряд обнаруженных кейлоггеров с группировкой PhantomCore👻 . При этом общее количество жертв на территории России увеличилось: в июне этого года их было девять, а в августе — уже 18.
Общая статистика такова:
• 10 компаний из общего числа взломанных организаций — жертвы группировки PhantomCore.
• Всего было обнаружено более 5000 строк с данными «логин — пароль — дата входа», которые получили злоумышленники.
• Прыжок во времени позволил нам найти образец ВПО PhantomDL v3, который использовался в атаках с мимикрией под военную юриспруденцию.
Анализ временного прыжка вы можете найти в нашем новом исследовании на Хабре.
P.S.: с PhantomCore мы не закончили. Следите за новостями🔜
#TI #APT #Malware
@ptescalator
В июне мы выпустили статью про обнаруженные Exchange-кейлоггеры. На тот момент было выявлено девять компаний-жертв в России, но никакой атрибуции тогда мы не провели.
В июле этого года мы совершили прыжок во времени и вернулись в декабрь 2024-го. Исследование зафиксированной тогда атаки позволило связать ряд обнаруженных кейлоггеров с группировкой PhantomCore
Общая статистика такова:
• 10 компаний из общего числа взломанных организаций — жертвы группировки PhantomCore.
• Всего было обнаружено более 5000 строк с данными «логин — пароль — дата входа», которые получили злоумышленники.
• Прыжок во времени позволил нам найти образец ВПО PhantomDL v3, который использовался в атаках с мимикрией под военную юриспруденцию.
Анализ временного прыжка вы можете найти в нашем новом исследовании на Хабре.
P.S.: с PhantomCore мы не закончили. Следите за новостями
#TI #APT #Malware
@ptescalator
Please open Telegram to view this post
VIEW IN TELEGRAM
👍12❤8🔥8
PTESCALATOR_9.png
10.7 MB
Вместо пятничного опроса — 8K WALLPAPERS BY @PTESCALATOR
Если пост соберет больше одного лайка, будем делать подборки регулярно
❤65👍34🔥18😁4💩4👎2
Phantomные боли 👻
В мае департамент Threat Intelligence экспертного центра безопасности Positive Technologies (PT ESC TI) обнаружил новую масштабную кампанию кибершпионажа APT-группировки PhantomCore в отношении критической инфраструктуры России.
Внешний периметр кибератаки и вредоносный арсенал были одновременно описаны российскими и зарубежными вендорами кибербезопасности. Однако группа киберразведки PT ESC TI сосредоточилась на более глубоком исследовании угрозы, в рамках которого удалось:
🖥 обнаружить ключевую инфраструктуру: взломанные российские сайты, фишинговые ресурсы с FakeCaptcha, payload-хабы, MeshCentral-серверы, SSH-туннели, панель управления Phantom;
👾 изучить и покрыть детектирующими правилами обновленный вредоносный арсенал: от популярных в киберпреступной среде opensource-утилит (RSocx, MeshAgent, RClone, XenArmor Password Recovery) и обновленных версий известных инструментов из личного арсенала (PhantomRAT) — до ранее не встречавшихся кастомных образцов: PhantomRShell, PhantomProxyLite, PhantomTaskShell, PhantomStealer;
🥷 изучить TTP и kill chain кибератак, подробно описать процедуры, выполняемые на зараженных хостах;
🌐 изучить географию, хронологию, характеристики и масштаб кибератак: более 180 заражений на территории России с мая по июль, 56% которых пришлись на 30 июня; 49 хостов до сих пор остаются под контролем группировки; среднее время нахождения хакеров в скомпрометированной сети — 24 дня, максимальное — 78 дней;
📞 идентифицировать и уведомить жертв из числа российских госорганов, научно-исследовательских институтов, предприятий оборонно-промышленного комплекса, судостроительной отрасли, химической, горнодобывающей и обрабатывающей промышленности, а также IT-компаний.
Кроме того, группе киберразведки PT ESC TI удалось обнаружить ответвление группировки, не входящее в основное звено. Оно состояло из низкоквалифицированных специалистов, подобранных в русскоязычных игровых Discord-сообществах, и было организовано в качестве собственного киберкриминального стартапа одним из членов основного костяка PhantomCore, имевшим доступ к исходникам кастомных инструментов.
🫱 Полный отчет — в нашем блоге.
#TI #APT
@ptescalator
В мае департамент Threat Intelligence экспертного центра безопасности Positive Technologies (PT ESC TI) обнаружил новую масштабную кампанию кибершпионажа APT-группировки PhantomCore в отношении критической инфраструктуры России.
Внешний периметр кибератаки и вредоносный арсенал были одновременно описаны российскими и зарубежными вендорами кибербезопасности. Однако группа киберразведки PT ESC TI сосредоточилась на более глубоком исследовании угрозы, в рамках которого удалось:
🖥 обнаружить ключевую инфраструктуру: взломанные российские сайты, фишинговые ресурсы с FakeCaptcha, payload-хабы, MeshCentral-серверы, SSH-туннели, панель управления Phantom;
👾 изучить и покрыть детектирующими правилами обновленный вредоносный арсенал: от популярных в киберпреступной среде opensource-утилит (RSocx, MeshAgent, RClone, XenArmor Password Recovery) и обновленных версий известных инструментов из личного арсенала (PhantomRAT) — до ранее не встречавшихся кастомных образцов: PhantomRShell, PhantomProxyLite, PhantomTaskShell, PhantomStealer;
🥷 изучить TTP и kill chain кибератак, подробно описать процедуры, выполняемые на зараженных хостах;
🌐 изучить географию, хронологию, характеристики и масштаб кибератак: более 180 заражений на территории России с мая по июль, 56% которых пришлись на 30 июня; 49 хостов до сих пор остаются под контролем группировки; среднее время нахождения хакеров в скомпрометированной сети — 24 дня, максимальное — 78 дней;
📞 идентифицировать и уведомить жертв из числа российских госорганов, научно-исследовательских институтов, предприятий оборонно-промышленного комплекса, судостроительной отрасли, химической, горнодобывающей и обрабатывающей промышленности, а также IT-компаний.
Кроме того, группе киберразведки PT ESC TI удалось обнаружить ответвление группировки, не входящее в основное звено. Оно состояло из низкоквалифицированных специалистов, подобранных в русскоязычных игровых Discord-сообществах, и было организовано в качестве собственного киберкриминального стартапа одним из членов основного костяка PhantomCore, имевшим доступ к исходникам кастомных инструментов.
🫱 Полный отчет — в нашем блоге.
#TI #APT
@ptescalator
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥24❤13👍13👏1
Forwarded from Positive Events
🗣 Каникулы заканчиваются, и наши эксперты возвращаются к публичным выступлениям
Основная часть докладов состоится на OFFZONE, где мы будем говорить об уязвимостях в различных продуктах и системах, об APT-группировках, реверс-инжиниринге, ИИ и изменениях ландшафта киберугроз.
➡️ 21 августа, 16:00, доклад «Особенности задач в продукте класса ПАК» на конференции аналитиков «Контур» в Санкт-Петербурге
Об особенностях работы системных аналитиков на производстве программно-аппаратных комплексов, возникающих задачах и встречающихся сложностях на примере PT NGFW расскажет Наталья Фролова, руководитель группы системного анализа.
OFFZONE
➡️ 21 августа, 13:00, доклад «Забираем секреты FreeIPA. И другие атаки»
Тем, как удаленно забрать из FreeIPA хеши паролей и посмотреть на центр сертификации, поделится Михаил Сухов, старший специалист red team R&D. Кроме того, он подробно разберет уязвимость CVE-2025-4404.
➡️ 21 августа, 13:20, доклад «LLM для автоматизации ИБ экспертизы: обнаружение вредоносного кода»
Как при помощи LLM построить пайплайн для обнаружения вредоносного кода и автоматизировать разметку данных, если она отсутствует, поделится в своем докладе Максим Митрофанов, руководитель группы анализа безопасности приложений.
➡️ 21 августа, 15:00, доклад «Баг ценой в жизнь: разбираем уязвимость в Android, блокирующую связь в чрезвычайной ситуации»
Залезем «под капот» Andorid и узнаем, какие ключевые недостатки в реализации политики глобальных ограничений приводят к блокировке функции вызова экстренных служб. Алена Склярова, старший исследователь безопасности ОС Android, посмотрит на уязвимость в действии и проверит, действительно ли патч устраняет проблему.
➡️ 22 августа, 11:00, доклад «Как выпасть из окна, или Все, что вы хотели знать про IOMMU в Windows»
Поговорим об особенностях DMA-атак на современные системы. Доклад Александра Занегина и Юрия Мищенко — первый полный обзор работы Windows IOMMU с низкоуровневыми подробностями от реверса и экспериментов вместо документации.
➡️ 22 августа, 12:00, доклад BootROM Busted: Renesas MCU inside
О том, как они смогли обнаружить несколько уязвимостей и успешно атаковать c помощью glitch-атак расскажут наши эксперты Дмитрий Верещак и Юрий Васин.
➡️ 22 августа, 13:00, доклад «Погребено в $LogFile: эксплуатация 20-летней уязвимости в NTFS»
Об обнаружении и эксплуатации ранее неизвестной уязвимости, связанной с повышением привилегий, в файловой системе NTFS (CVE‑2025‑49689), которая более 20 лет оставалась вне поля зрения разработчиков и исследователей, расскажет Сергей Тарасов, руководитель группы анализа уязвимостей в PT ESC.
➡️ 22 августа, 14:30, доклад «Гадание на GOFFEEйной гуще: актуальные инструменты и особенности группировки GOFFEE в атаках на Россию»
Вы узнаете об активности группировки за последний год и ее атаках на промышленный и государственный секторы России. Клим Галкин и Варвара Колоскова, специалисты групп киберразведки и исследования сложных угроз, подробнее расскажут об арсенале и инфраструктуре GOFFEE.
➡️ 22 августа, 16:30, дискуссия «Ландшафт киберугроз России в 2025 году»
Денис Кувшинов, руководитель департамента threat intelligence PT ESC, вместе с представителями компаний, специализирующихся на кибербезопасности, поговорит об изменении ландшафта угроз в 2025 году и обсудят тренды.
➡️ 22 августа, 17:00, доклад «“Слушай и бей” — взламываем устройства с помощью осциллографа и транзистора»
В докладе Алексей Шалпегин на наглядных примерах разберет векторы атак на современные микроконтроллеры, а также инструменты злоумышленников.
➡️ 25 августа, 17:30, панельная дискуссия «Чем ux-редактор отличается от техписа» на WriteConf
Представители крупных ИТ-компаний обсудят, какие сходства и различия имеют эти две профессии. От нас в дискуссии участвует Анастасия Московкина, руководитель департамента информационной поддержки.
Не пропустите интересные вам доклады и дискуссии, если собираетесь на любую из конференций 😉
@Positive_Technologies
Основная часть докладов состоится на OFFZONE, где мы будем говорить об уязвимостях в различных продуктах и системах, об APT-группировках, реверс-инжиниринге, ИИ и изменениях ландшафта киберугроз.
Об особенностях работы системных аналитиков на производстве программно-аппаратных комплексов, возникающих задачах и встречающихся сложностях на примере PT NGFW расскажет Наталья Фролова, руководитель группы системного анализа.
OFFZONE
Тем, как удаленно забрать из FreeIPA хеши паролей и посмотреть на центр сертификации, поделится Михаил Сухов, старший специалист red team R&D. Кроме того, он подробно разберет уязвимость CVE-2025-4404.
Как при помощи LLM построить пайплайн для обнаружения вредоносного кода и автоматизировать разметку данных, если она отсутствует, поделится в своем докладе Максим Митрофанов, руководитель группы анализа безопасности приложений.
Залезем «под капот» Andorid и узнаем, какие ключевые недостатки в реализации политики глобальных ограничений приводят к блокировке функции вызова экстренных служб. Алена Склярова, старший исследователь безопасности ОС Android, посмотрит на уязвимость в действии и проверит, действительно ли патч устраняет проблему.
Поговорим об особенностях DMA-атак на современные системы. Доклад Александра Занегина и Юрия Мищенко — первый полный обзор работы Windows IOMMU с низкоуровневыми подробностями от реверса и экспериментов вместо документации.
О том, как они смогли обнаружить несколько уязвимостей и успешно атаковать c помощью glitch-атак расскажут наши эксперты Дмитрий Верещак и Юрий Васин.
Об обнаружении и эксплуатации ранее неизвестной уязвимости, связанной с повышением привилегий, в файловой системе NTFS (CVE‑2025‑49689), которая более 20 лет оставалась вне поля зрения разработчиков и исследователей, расскажет Сергей Тарасов, руководитель группы анализа уязвимостей в PT ESC.
Вы узнаете об активности группировки за последний год и ее атаках на промышленный и государственный секторы России. Клим Галкин и Варвара Колоскова, специалисты групп киберразведки и исследования сложных угроз, подробнее расскажут об арсенале и инфраструктуре GOFFEE.
Денис Кувшинов, руководитель департамента threat intelligence PT ESC, вместе с представителями компаний, специализирующихся на кибербезопасности, поговорит об изменении ландшафта угроз в 2025 году и обсудят тренды.
В докладе Алексей Шалпегин на наглядных примерах разберет векторы атак на современные микроконтроллеры, а также инструменты злоумышленников.
Представители крупных ИТ-компаний обсудят, какие сходства и различия имеют эти две профессии. От нас в дискуссии участвует Анастасия Московкина, руководитель департамента информационной поддержки.
Не пропустите интересные вам доклады и дискуссии, если собираетесь на любую из конференций 😉
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
❤7🔥5👍4⚡2
Гадание на Goffeeйной гуще: актуальные инструменты и особенности группировки Goffee в атаках на Россию ☕️
В течение 2024-2025 годов эксперты TI-департамента пристально следят за активностью группировки Goffee. За этот период, совместно с IR-командой, при расследовании инцидентов мы наблюдали обновление арсенала и использование новых векторов атаки.
🕵️ Нам удалось получить ранее неизвестные сэмплы — руткит, самописные инструменты для туннелирования трафика и другие. Изучение сетевой инфраструктуры позволило выявить паттерны, которые с высокой уверенностью позволяют атрибутировать новые семплы к активности группировки Goffee.
👽 О том, какие особенности в их инфраструктуре мы выделили, какой арсенал использует группировка на данный момент и почему исследование атак «гофи» — это поиск Goffeeйного зерна в инфраструктуре жертвы, вы можете узнать в нашей новой статье.
#TI #IR #APT #Malware
@ptescalator
В течение 2024-2025 годов эксперты TI-департамента пристально следят за активностью группировки Goffee. За этот период, совместно с IR-командой, при расследовании инцидентов мы наблюдали обновление арсенала и использование новых векторов атаки.
#TI #IR #APT #Malware
@ptescalator
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥18❤10👌5⚡2
Какой доклад на OFFZONE от экспертов Позитива вам зашел больше всего? 🧐
Anonymous Poll
9%
Забираем секреты FreeIPA. И другие атаки 😎
7%
LLM для автоматизации ИБ-экспертизы: обнаружение вредоносного кода 🤖
4%
Баг ценой в жизнь: разбираем уязвимость в Android, блокирующую связь в чрезвычайной ситуации 📱
3%
Как выпасть из окна, или Все, что вы хотели знать про IOMMU в Windows 🪟
2%
BootROM Busted: Renesas MCU inside 💀
11%
Погребено в $LogFile: эксплуатация 20-летней уязвимости в NTFS 😱
13%
Гадание на GOFFEEйной гуще: актуальные инструменты и особенности GOFFEE в атаках на Россию ☕️
5%
«Слушай и бей» — взламываем устройства с помощью осциллографа и транзистора 🔨
68%
Не был на OFFZONE, жду записи 🗿
👍11❤6🔥6😁3
Потерянное Goffeeйное зерно 🤨
Буквально через пару дней после нашего исследования активности группировки Goffee была проведена еще одна атака, о которой сейчас мы вам расскажем
👋 Все начинается с письма от лица якобы ГУ МВД России (скриншот 1), в котором во вложении находится PDF-документ со следующим содержимым (скриншот 2). В документе жертва находит ссылку на скачивание прилагаемых материалов, однако сама ссылка ведет на поддельный сайт МВД (скриншот 3), на котором для загрузки просят пройти капчу. После прохождения капчи скачивается архив
В качестве полезной нагрузки остались ранее известные .NET-загрузчики. И если ранее злоумышленники рандомизировали название mutex-ов, методов и типов следующего стейджа, то теперь модернизируются и сами GET-запросы.
🔄 Классические параметры в URL —
К тому же некоторые загрузчики могли содержать документ-приманку с названием
По аналогичным названиям всего удалось обнаружить четыре архива с вредоносным ПО, описанным выше. Найти архивы и атрибутировать эти атаки к группировке Goffee в том числе помогают выделенные в статье (и выступлении OFFZONE) особенности сетевой инфраструктуры:
• Все найденные домены в загрузчиках имеют .com/.org TLD, и сами домены — второго уровня.
• Во всех загрузчиках для получения следующей стадии цепочки атаки используются ссылки четвертого и более уровня вложенности.
• Все домены зарегистрированы в Namecheap.
• Все домены хостятся на российских IP-адресах.
Дополнительные поиски по особенностям исполняемых файлов (схожие названия, сохраненные Debug Path и другое) помогли определить еще ряд семплов, принадлежащих Goffee.
Сетевые индикаторы компрометации
Файловые индикаторы компрометации
#TI #APT
@ptescalator
Буквально через пару дней после нашего исследования активности группировки Goffee была проведена еще одна атака, о которой сейчас мы вам расскажем
182-1672143-01.zip, внутри которого, помимо трех документов-приманок (пример одной приманки можно найти на скриншоте 4), лежит полезная нагрузка с именем 182-1672143-01(исполнитель * М.Д).exe**.В качестве полезной нагрузки остались ранее известные .NET-загрузчики. И если ранее злоумышленники рандомизировали название mutex-ов, методов и типов следующего стейджа, то теперь модернизируются и сами GET-запросы.
hostname= и username= — заменили на рандомные строки. Например, в одном из загрузчиков был составлен URL следующего формата:https://regrety.com/perplexed/blanket/caryatids/enthused/microlight?ToothRoofCarpet=<MachineName>&ChickWireHorse=<UserName>
К тому же некоторые загрузчики могли содержать документ-приманку с названием
input.docx, по содержанию не отличавшийся от одного из документов в архиве.По аналогичным названиям всего удалось обнаружить четыре архива с вредоносным ПО, описанным выше. Найти архивы и атрибутировать эти атаки к группировке Goffee в том числе помогают выделенные в статье (и выступлении OFFZONE) особенности сетевой инфраструктуры:
• Все найденные домены в загрузчиках имеют .com/.org TLD, и сами домены — второго уровня.
• Во всех загрузчиках для получения следующей стадии цепочки атаки используются ссылки четвертого и более уровня вложенности.
• Все домены зарегистрированы в Namecheap.
• Все домены хостятся на российских IP-адресах.
Дополнительные поиски по особенностям исполняемых файлов (схожие названия, сохраненные Debug Path и другое) помогли определить еще ряд семплов, принадлежащих Goffee.
Сетевые индикаторы компрометации
Домены:
cloud.mvd.spb.ru
brothiz.com
possessionpower.org
regrety.com
votexrp.com
combibox.net
pundy.org
Ссылки:
https://cloud.mvd.spb.ru/8u43sj
https://brothiz.com/counties/indicating/football/compress/bards
https://possessionpower.org/photographing/insinuating/predisposing/insolent/envious
https://regrety.com/perplexed/blanket/caryatids/enthused/microlight
https://votexrp.com/glossed/complainingly/blank/looks/adjudge
https://combibox.net/gravitated/larva/commends/lambswool/potted
https://pundy.org/deliberation/corslet/posterior/flavourings/eavesdroppers
Файловые индикаторы компрометации
Архивы:
202645d53e040eddb41dfeb1ed0560d3500a15c09717d8853928ee9a17208e22
fd54cda0111f9746a3caa64a1117b94a56f59711a83ec368206105d5c8d757b0
e27af28d19791d18c0cb65929a530fe5aeb5db25a35fe26e2993c444dcd58352
4888c94e8a943d02f5fcc92f78a0cd19b957fb0c8709d4de484cd36c97448226
Полезные нагрузки:
b8cf62b529b17f5c8cf3cfa51d47f5dcf263c8ee5fffc427ea02359d4597865a
c89ab2c5648be4f4e459422fe90be09402824e8555484f1cc51a22ad96edf19b
3f151143fc4747f0f99aeba58a3d83d9ae655da3b5721a0900320bc25992656f
6262e99b7020b8e510ae9e6d8119affb239b42f4a5966af362f58292aa0af700
c45905101c29be2993dfaf98752df6def0ac47dd4c4a732d4bfdc8c4f002b6f1
ee17de2e428b9cf80e25aeaa3272bd8516c9115f0733baec56014f6d3232b61a
#TI #APT
@ptescalator
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍17🔥15❤🔥9👏3❤2😱2⚡1