Geekly articles weekly

рдСрдкрд░реЗрд╢рди TA505, рднрд╛рдЧ рджреЛ: рд▓рд░реНрдирд┐рдВрдЧ рд╣реЗрд▓реНрдкрд╣рд░реНрдкрд░ рдкрд┐рдЫрд▓реЗ рджрд░рд╡рд╛рдЬреЗ NetSupport RAT рдХреЗ рд╕рд╛рде



рдЬреБрд▓рд╛рдИ 2019 рдХреЗ рдЕрдВрдд рдореЗрдВ, рд╣рдордиреЗ TA505 рдореИрд▓рд╡реЗрдпрд░ рдХрд╛ рдПрдХ рджрд┐рд▓рдЪрд╕реНрдк рдирдореВрдирд╛ рдЦреЛрдЬрд╛ ред 22 рдЬреБрд▓рд╛рдИ, 2019 рдХреЛ рдЗрд╕реЗ рдбрд╛рдпрдиреЗрдорд┐рдХ рд╡рд┐рд╢реНрд▓реЗрд╖рдг рдХреЗ рд▓рд┐рдП Any.RUN рдореЗрдВ рдЕрдкрд▓реЛрдб рдХрд┐рдпрд╛ рдЧрдпрд╛ рдерд╛ред рд╣рдорд╛рд░рд╛ рдзреНрдпрд╛рди рдЗрд╕ рддрдереНрдп рдкрд░ рдЖрдХрд░реНрд╖рд┐рдд рдХрд┐рдпрд╛ рдЧрдпрд╛ рдерд╛ рдХрд┐ рдЙрдЬрд╛рдЧрд░ рдХрд┐рдП рдЧрдП рдЯреИрдЧреЛрдВ рдореЗрдВ рд╕реЗ, TA505 рд╕рд░реНрд╡реЗрд▓рдкрд░ рдХреЗ рд▓рд┐рдП рд╕рд╛рдорд╛рдиреНрдп рд░реВрдк рд╕реЗ, рдиреЗрдЯрд╕реНрдХреЗрдк рдЯреЙрдкрд░ рдЯреИрдЧ рднреА рджрд┐рдЦрд╛рдИ рджрд┐рдпрд╛, рдФрд░ рдиреЗрдЯрд╡рд░реНрдХ рд╣рд╕реНрддрд╛рдХреНрд╖рд░ рдХреА рдЖрдЧ рдХреЗ рдмреАрдЪ, рдЙрд╕реА рдирд╛рдо рдиреЗрдЯрд╕реБрдкреЛрд░реНрдЯ рдЖрд░рдПрдЯреА рдХреА рдкрд╣рдЪрд╛рди рдХреА рдЧрдИред



рдЕрдВрдЬреАрд░ред 1. рдХрд┐рд╕реА рднреА рдСрдирд▓рд╛рдЗрди рд╡рд┐рд╢реНрд▓реЗрд╖рдХ рдореЗрдВ рдореИрд▓рд╡реЗрдпрд░ рдФрд░ рдЯреИрдЧ рд╕реЗрдЯ рдХреЗ рд▓рд┐рдП рдбрд╛рдЙрдирд▓реЛрдб рддрд┐рдерд┐



рдЕрдВрдЬреАрд░ред 2. рдиреЗрдЯрд╡рд░реНрдХ рд╣рд╕реНрддрд╛рдХреНрд╖рд░ рдХрд┐рд╕реА рднреАред рд╕реИрдВрдбрдмреЙрдХреНрд╕ рдореЗрдВ NetSupport RAT рдкрд░ рдЯреНрд░рд┐рдЧрд░

рдкрд╣рд▓реА рдирдЬрд╝рд░ рдореЗрдВ, рдпрд╣ рдЕрдЬреАрдм рд▓рдЧ рд╕рдХрддрд╛ рд╣реИ: рдЖрдЦрд┐рд░рдХрд╛рд░, рд╕рд░реНрд╡рд░рд╣реЗрд▓реНрдкрд░ рд╕рдореВрд╣ рдХреЗ рдкрд┐рдЫрд▓реЗ рджрд░рд╡рд╛рдЬреЗ рдореЗрдВ рдкреАрдбрд╝рд┐рдд рдХреЗ рдкреАрд╕реА рдХреЛ рдирд┐рдпрдВрддреНрд░рд┐рдд рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рдкреНрд░рднрд╛рд╡рд╢рд╛рд▓реА рдХрд╛рд░реНрдпрдХреНрд╖рдорддрд╛ рд╣реИред рдпрд╣ рдореИрд▓рд╡реЗрдпрд░ рдХреЗ рдХрд╛рдо рдкрд░ рд╡рд┐рд╕реНрддрд╛рд░ рд╕реЗ рд╡рд┐рдЪрд╛рд░ рдХрд░рдиреЗ рдХрд╛ рд╕рдордп рд╣реИред

NSIS рдФрд░ рдкреЙрд╡рд░рд╢реЗрд▓ рдбреНрд░реЙрдкрд░


рдирд┐рд╖реНрдкрд╛рджрди рдпреЛрдЧреНрдп PE рдлрд╝рд╛рдЗрд▓ рдЬрд┐рд╕рдореЗрдВ рд╕реЗ рд╣рдорд╛рд░рд╛ рд╡рд┐рд╢реНрд▓реЗрд╖рдг рд╢реБрд░реВ рд╣реЛрддрд╛ рд╣реИ, Nullsoft Scriptable Install System (NSIS) рдкреНрд▓реЗрдЯрдлреЙрд░реНрдо рдкрд░ рдЖрдзрд╛рд░рд┐рдд рдПрдХ рдЗрдВрд╕реНрдЯреЙрд▓рд░ рд╣реИред NSIS рд╕реНрдХреНрд░рд┐рдкреНрдЯ рдЬреЛ рдЗрдВрд╕реНрдЯреЙрд▓реЗрд╢рди рдкреНрд░рдХреНрд░рд┐рдпрд╛ рдХреЛ рдЕрд░реНрдХ рдХрд░рддреА рд╣реИ рдФрд░ рдПрдореНрдмреЗрдбреЗрдб PowerShell рд╕реНрдХреНрд░рд┐рдкреНрдЯ рдХреЛ рдЪрд▓рд╛рддреА рд╣реИ:



рдЕрдВрдЬреАрд░ред 3. NSIS рд╕реНрдХреНрд░рд┐рдкреНрдЯ рдирд┐рд░реНрджреЗрд╢

рд▓реЙрдиреНрдЪ рдХреА рдЧрдИ PowerShell рд╕реНрдХреНрд░рд┐рдкреНрдЯ рдореЗрдВ Base64- рдПрдиреНрдХреЛрдбреЗрдб рдмрдлрд░ (рд╕реНрдкрд╖реНрдЯрддрд╛ рдХреЗ рд▓рд┐рдП рдиреАрдЪреЗ рдХреА рдЖрдХреГрддрд┐ рдореЗрдВ рдЫреЛрдЯрд╛) рд╣реИ, рдЬрд┐рд╕реЗ CBC рдореЛрдб рдореЗрдВ рдЯреНрд░рд┐рдкрд▓ рдбреЗрд╕ (3DES) рджреНрд╡рд╛рд░рд╛ рдбрд┐рдХреЛрдб рдХрд┐рдП рдЬрд╛рдиреЗ рдХреЗ рдмрд╛рдж:



рдЕрдВрдЬреАрд░ред 4. PowerShell рд╕реНрдХреНрд░рд┐рдкреНрдЯ рдореЗрдВ рдбреЗрдЯрд╛ рдХрд╛ рдбрд┐рдХреНрд░рд┐рдкреНрд╢рди

рд╕реНрдХреНрд░рд┐рдкреНрдЯ рдХрд╛ рдкрд╣рд▓рд╛ рднрд╛рдЧ рдмреЛрд▓рдиреЗ рд╡рд╛рд▓реЗ рдирд╛рдо рд╣реЗрд▓рд░ рдХреЗ рд╕рд╛рде рдПрдХ рдлрд╝рдВрдХреНрд╢рди рд╣реИ рдФрд░ рд╕рд┐рд╕реНрдЯрдо рдореЗрдВ рд╡рд┐рд╢реЗрд╖рд╛рдзрд┐рдХрд╛рд░реЛрдВ рдХреЛ рдмрдврд╝рд╛рдиреЗ рдФрд░ рдпреВрдПрд╕реА рд╕рдВрд░рдХреНрд╖рдг рдХреЛ рджрд░рдХрд┐рдирд╛рд░ рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рдЬрд┐рдореНрдореЗрджрд╛рд░ рд╣реИред рдЗрд╕рдХреЗ рд▓рд┐рдП рджреЛ рддрдХрдиреАрдХреЛрдВ рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд┐рдпрд╛ рдЬрд╛рддрд╛ рд╣реИ:

рддрдХрдиреАрдХ рдирдВрдмрд░ 1: рдХрд╛рд░реНрдп рдЕрдиреБрд╕реВрдЪрдХ рдореЗрдВ рд╕рд╛рдЗрд▓реЗрдВрдЯрдХреНрд▓реЗрдирдЕрдк рдХрд╛рд░реНрдп рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рдирд╛:

  • рдХрд╛рд░реНрдп рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рджреНрд╡рд╛рд░рд╛ рд▓реЙрдиреНрдЪ рдХрд┐рдпрд╛ рдЬрд╛ рд╕рдХрддрд╛ рд╣реИ, рд▓реЗрдХрд┐рди рдЙрдиреНрдирдд рд╡рд┐рд╢реЗрд╖рд╛рдзрд┐рдХрд╛рд░реЛрдВ рдХреЗ рд╕рд╛рде рдХрд╛рдо рдХрд░рддрд╛ рд╣реИред рдХрд╛рд░реНрдп рдЧреБрдгреЛрдВ рдореЗрдВ% windir% рдкрд░реНрдпрд╛рд╡рд░рдг рдЪрд░ рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рдХреЗ рдирд┐рд╖реНрдкрд╛рджрди рдпреЛрдЧреНрдп рдлрд╝рд╛рдЗрд▓ рдХрд╛ рдкрде рд╣реИред рдЖрдк рдкрд░реНрдпрд╛рд╡рд░рдг рдЪрд░ рдХреЗ рдорд╛рди рдХреЛ рдмрджрд▓ рд╕рдХрддреЗ рд╣реИрдВ (рдЙрджрд╛рд╣рд░рдг рдХреЗ рд▓рд┐рдП, PowerShell рд╕реНрдХреНрд░рд┐рдкреНрдЯ рдХреЗ рд▓реЙрдиреНрдЪ рдХреЛ рдирд┐рд░реНрджрд┐рд╖реНрдЯ рдХрд░реЗрдВ), рдлрд┐рд░ рдХрд╛рд░реНрдп рд╢реБрд░реВ рдХрд░рдиреЗ рд╕реЗ UAC рдХреЛ рдЪреЗрддрд╛рд╡рдиреА рджрд┐рдП рдмрд┐рдирд╛ рд╡реНрдпрд╡рд╕реНрдерд╛рдкрдХ рдЕрдзрд┐рдХрд╛рд░реЛрдВ рдХреЗ рд╕рд╛рде PowerShell рд╕реНрдХреНрд░рд┐рдкреНрдЯ рдХрд╛ рдирд┐рд╖реНрдкрд╛рджрди рд╣реЛ рдЬрд╛рдПрдЧрд╛ред
  • рд╣рдорд▓рд╛рд╡рд░ рдЗрд╕ рддрдХрдиреАрдХ рдХрд╛ рдЙрдкрдпреЛрдЧ рд╡рд┐рдВрдбреЛрдЬ 8 рдФрд░ рд╡рд┐рдВрдбреЛрдЬ 10 рд╕рд┐рд╕реНрдЯрдо рдкрд░ рдХрд░рддреЗ рд╣реИрдВред
  • рдЗрд╕ рддрдХрдиреАрдХ рдХреЛ рдирд┐рд╖реНрдкрд╛рджрд┐рдд рдХрд░рдиреЗ рд╡рд╛рд▓рд╛ рдХреЛрдб рдореЗрдЯрд╛рд╕реНрдкреНрд▓реЛрдЗрдЯ рдврд╛рдВрдЪреЗ рдХреЗ рд▓рд┐рдП рдореЙрдбреНрдпреВрд▓ рдХреЗ рдХрд╛рд░реНрдпрд╛рдиреНрд╡рдпрди рдХреЗ рд╕рдорд╛рди рд╣реИред



рдЕрдВрдЬреАрд░ред 5. рд╕рд╛рдЗрд▓реЗрдВрдЯрдХреНрд▓реАрдирдЕрдк рдХрд╛рд░реНрдп рдХреЛ рджрд░рдХрд┐рдирд╛рд░ рдХрд░рдиреЗ рдХреА рддрдХрдиреАрдХ рдХреЗ рд╕рд╛рде рд╕реНрдХреНрд░рд┐рдкреНрдЯ рдХрд╛ рд╣рд┐рд╕реНрд╕рд╛

рддрдХрдиреАрдХ рдирдВрдмрд░ 2: sysprep.exe рд╕рд┐рд╕реНрдЯрдо рдЙрдкрдпреЛрдЧрд┐рддрд╛ рдФрд░ рд╕рд╛рдЗрдб-рд▓реЛрдбрд┐рдВрдЧ DLL рддрдХрдиреАрдХ рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рдирд╛

  • рд╕рдмрд╕реЗ рдкрд╣рд▓реЗ, C: \ Windows \ Temp рдирд┐рд░реНрджреЗрд╢рд┐рдХрд╛ рдореЗрдВ PowerShell рд╕реНрдХреНрд░рд┐рдкреНрдЯ рдХреЛ рдкреБрдирд░рд╛рд░рдВрдн рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рдПрдХ рд╕рд╣рд╛рдпрдХ рд╕реНрдХреНрд░рд┐рдкреНрдЯ рдмрдирд╛рдИ рдЬрд╛рддреА рд╣реИред рдлрд┐рд░ рдПрдХ рдХреИрдм-рдЖрд░реНрдХрд╛рдЗрд╡ рдХрд╛ рдирд┐рд░реНрдорд╛рдг рдХрд┐рдпрд╛ рдЬрд╛рддрд╛ рд╣реИ , рдЬрд┐рд╕рдореЗрдВ рд╕рд╣рд╛рдпрдХ рдбреАрдПрд▓рдПрд▓-рд▓рд╛рдЗрдмреНрд░реЗрд░реА CRYPTBASE.dll (рдкреЙрд╡рд░рд╢реЗрд▓-рд╕реНрдХреНрд░рд┐рдкреНрдЯ рдореЗрдВ x86- рдФрд░ x64- рд▓рд╛рдЗрдмреНрд░реЗрд░реА рдХреЗ рджреЛрдиреЛрдВ рд╕рдВрд╕реНрдХрд░рдг рд╢рд╛рдорд┐рд▓ рд╣реИрдВ)ред Wusa.exe рд╕рд┐рд╕реНрдЯрдо рдЙрдкрдпреЛрдЧрд┐рддрд╛ рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рддреЗ рд╣реБрдП, рдпрд╣ рд╕рдВрдЧреНрд░рд╣ C: \ Windows \ System32 \ Sysprep рдирд┐рд░реНрджреЗрд╢рд┐рдХрд╛ рдореЗрдВ рдЕрдирдкреИрдХ рдХрд┐рдпрд╛ рдЧрдпрд╛ рд╣реИред рдлрд┐рд░, рд╕рд┐рд╕реНрдЯрдо рдЙрдкрдпреЛрдЧрд┐рддрд╛ sysprep.exe рд▓реЙрдиреНрдЪ рдХреА рдЧрдИ рд╣реИ, рдЬреЛ рдкрд╣рд▓реЗ рд╕реЗ рдмрдВрдж DLL- рд▓рд╛рдЗрдмреНрд░реЗрд░реА рдХреЛ рд▓реЛрдб рдХрд░реЗрдЧрд╛, рдФрд░ рдпрд╣ рдмрджрд▓реЗ рдореЗрдВ, рд╕рд╣рд╛рдпрдХ рд╕реНрдХреНрд░рд┐рдкреНрдЯ рдХреЛ рдирд┐рд╖реНрдкрд╛рджрд┐рдд рдХрд░реЗрдЧрд╛ред рдкрд░рд┐рдгрд╛рдорд╕реНрд╡рд░реВрдк, PowerShell рд╕реНрдХреНрд░рд┐рдкреНрдЯ рдХреЛ UAC рдХреЛ рдЪреЗрддрд╛рд╡рдиреА рджрд┐рдП рдмрд┐рдирд╛ рд╡реНрдпрд╡рд╕реНрдерд╛рдкрдХ рдЕрдзрд┐рдХрд╛рд░реЛрдВ рдХреЗ рд╕рд╛рде рдкреБрдирдГ рдЖрд░рдВрдн рдХрд┐рдпрд╛ рдЬрд╛рдПрдЧрд╛ред
  • рд╣рдорд▓рд╛рд╡рд░ рдЗрд╕ рддрдХрдиреАрдХ рдХрд╛ рдЙрдкрдпреЛрдЧ рд╡рд┐рдВрдбреЛрдЬ 7 рд╕рд┐рд╕реНрдЯрдо рдкрд░ рдХрд░рддреЗ рд╣реИрдВред
  • рдПрдХ рд╡рд┐рд╕реНрддреГрдд рд╡рд┐рд╡рд░рдг рдЗрд╕ рд▓реЗрдЦ рдореЗрдВ рдкрд╛рдпрд╛ рдЬрд╛ рд╕рдХрддрд╛ рд╣реИ, рдФрд░ рдХрд╛рд░реНрдпрд╛рдиреНрд╡рдпрди рдЙрджрд╛рд╣рд░рдг, рдЙрджрд╛рд╣рд░рдг рдХреЗ рд▓рд┐рдП, рдЧрд┐рддреБрдм рдкрд░ рдЗрд╕ рдкрд░рд┐рдпреЛрдЬрдирд╛ рдореЗрдВред



рдЕрдВрдЬреАрд░ред 6. sysprep.exe рдЙрдкрдпреЛрдЧрд┐рддрд╛ рдХреЛ рджрд░рдХрд┐рдирд╛рд░ рдХрд░рдиреЗ рдХреА рддрдХрдиреАрдХ рдХреЗ рд╕рд╛рде рд╕реНрдХреНрд░рд┐рдкреНрдЯ рдХрд╛ рд╣рд┐рд╕реНрд╕рд╛

рд╕реНрдХреНрд░рд┐рдкреНрдЯ рдореЗрдВ рдмрд╣реБрдд рд╕рд╛рд░реА рдЯрд┐рдкреНрдкрдгрд┐рдпрд╛рдВ рд╣реИрдВ, рдЕрдкреНрд░рдпреБрдХреНрдд рдкрд░реАрдХреНрд╖рдг-рдкреНрд░рд╢рд╛рд╕рдХ рдлрд╝рдВрдХреНрд╢рди, рдХреБрдЫ рдЪрд░ рдХрд╛ рдЙрдкрдпреЛрдЧ рдмрд┐рдирд╛ рдЖрд░рдВрднреАрдХрд░рдг рдХреЗ рдХрд┐рдпрд╛ рдЬрд╛рддрд╛ рд╣реИ: рдпреЗ рд╕рднреА рд╕рдВрдХреНрд╖рд┐рдкреНрддрддрд╛ рдХреА рд╕рд╛рд╡рдзрд╛рдиреАрдкреВрд░реНрд╡рдХ рдЬрд╛рдВрдЪ рдХреЗ рдмрд┐рдирд╛ рдЙрдзрд╛рд░ рдХреЛрдб рдХреЗ рд╕рдВрдХреЗрдд рд╣реИрдВред

рдЖрд╡рд╢реНрдпрдХ рд╡рд┐рд╢реЗрд╖рд╛рдзрд┐рдХрд╛рд░реЛрдВ рдХреЗ рд╕рд╛рде рд╕реНрдХреНрд░рд┐рдкреНрдЯ рдХреЛ рдЪрд▓рд╛рдиреЗ рдХреЗ рдмрд╛рдж, рд╕реНрдХреНрд░рд┐рдкреНрдЯ рдХреЗ рджреВрд╕рд░реЗ рднрд╛рдЧ рдХреЛ рдирд┐рд╖реНрдкрд╛рджрд┐рдд рдХрд┐рдпрд╛ рдЬрд╛рддрд╛ рд╣реИред рдЗрд╕ рд╕реНрддрд░ рдкрд░, рд▓рдХреНрд╖реНрдп рдкреЗрд▓реЛрдб рдХреЛ рдбрд┐рдХреЛрдб рдХрд┐рдпрд╛ рдЧрдпрд╛ рд╣реИ:

  • Base64 рджреНрд╡рд╛рд░рд╛ рд╕реНрдЯреНрд░рд┐рдВрдЧ рдХреЛ рдбрд┐рдХреЛрдб рдХрд┐рдпрд╛ рдЧрдпрд╛ рд╣реИ,
  • Deflate рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рдХреЗ рдмрдлрд░ рдХрд╛ рд╡рд┐рд╕реНрддрд╛рд░ рдХрд┐рдпрд╛ рдЬрд╛рддрд╛ рд╣реИ,
  • Base64 рджреНрд╡рд╛рд░рд╛ рд╕реНрдЯреНрд░рд┐рдВрдЧ рдХреЛ рдлрд┐рд░ рд╕реЗ рдбрд┐рдХреЛрдб рдХрд┐рдпрд╛ рдЧрдпрд╛ рд╣реИред



рдЕрдВрдЬреАрд░ред 7. рдкреЗрд▓реЛрдб рдбрд┐рдХреЛрдбрд┐рдВрдЧ рдПрд▓реНрдЧреЛрд░рд┐рдереНрдо

  • рдкрд░рд┐рдгрд╛рдорд╕реНрд╡рд░реВрдк, рд╕рд┐рд╕реНрдЯрдо рдореЗрдВ рдирд┐рдореНрдирд▓рд┐рдЦрд┐рдд рдлрд╛рдЗрд▓реЗрдВ рдмрдирд╛рдИ рдЬрд╛рдПрдВрдЧреА:
  • % Systemroot% \ help \ hlp11.dat - RDP рд░реИрдкрд░ рд▓рд╛рдЗрдмреНрд░реЗрд░реА рдХрд╛ x86 / x64 рд╕рдВрд╕реНрдХрд░рдгред рдЗрд╕рдХрд╛ рдЙрдкрдпреЛрдЧ рдЖрд░рдбреАрдкреА рд╕реЗрд╡рд╛ рдХреА рдХрд╛рд░реНрдпрдХреНрд╖рдорддрд╛ рдХрд╛ рд╡рд┐рд╕реНрддрд╛рд░ рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рдХрд┐рдпрд╛ рдЬрд╛рддрд╛ рд╣реИ, рдЬрд┐рд╕рдореЗрдВ рдХрдИ рдПрдХ рд╕рд╛рде рдХрдиреЗрдХреНрд╢рди рдХреА рд╕рдВрднрд╛рд╡рдирд╛ рднреА рд╢рд╛рдорд┐рд▓ рд╣реИред рдпрд╣ рдиреЛрдЯ рдХрд░рдирд╛ рдорд╣рддреНрд╡рдкреВрд░реНрдг рд╣реИ рдХрд┐ рд▓рд╛рдЗрдмреНрд░реЗрд░реА рд╕рдВрд╢реЛрдзрд┐рдд рд╣реИ: рдирд┐рд╖реНрдкрд╛рджрди рдХреА рд╢реБрд░реБрдЖрдд рдореЗрдВ, рд▓рд╛рдЗрди c: \ windows \ help \ hlp12.dat рдХреЛ рд░реИрдЦрд┐рдХ XOR рд╕реЗ рдбрд┐рдХреЛрдб рдХрд┐рдпрд╛ рдЬрд╛рддрд╛ рд╣реИ , рдлрд┐рд░ DLL рдХреЛ рдкреНрд░рд╛рдкреНрдд рдкрде рдкрд░ рд▓реЛрдб рдХрд┐рдпрд╛ рдЬрд╛рддрд╛ рд╣реИ:



рдЕрдВрдЬреАрд░ред 8. рдбреАрдПрд▓рдПрд▓-рд▓рд╛рдЗрдмреНрд░реЗрд░реА рдФрд░ рдЗрд╕рдХреЗ рд▓реЛрдбрд┐рдВрдЧ рдХреЗ рд▓рд┐рдП рдорд╛рд░реНрдЧ рдХрд╛ рдбрд┐рдХреНрд░рд┐рдкреНрд╢рди

  • % systemroot% \ help \ hlp12.dat ServHelper рдкрд┐рдЫрд▓реЗ рджрд░рд╡рд╛рдЬреЗ рдХрд╛ x86 / x64 рд╕рдВрд╕реНрдХрд░рдг рд╣реИ, рдЬрд┐рд╕рдХреА рдЪрд░реНрдЪрд╛ рдЕрдЧрд▓реЗ рднрд╛рдЧ рдореЗрдВ рдХреА рдЬрд╛рдПрдЧреА;
  • % systemroot% \ help \ hlp13.dat - RDP рд░реИрдкрд░ рд▓рд╛рдЗрдмреНрд░реЗрд░реА рдХреЗ рд▓рд┐рдП рдХреЙрдиреНрдлрд╝рд┐рдЧрд░реЗрд╢рди рдлрд╝рд╛рдЗрд▓,
  • % systemroot% \ system32 \ rdpclip.exe - рдХреНрд▓рд┐рдкрдмреЛрд░реНрдб рдбреЗрдЯрд╛ рдХрд╛ рдЖрджрд╛рди-рдкреНрд░рджрд╛рди рдХрд░рдиреЗ рдХреА рдХреНрд╖рдорддрд╛ рдХреЗ рд▓рд┐рдП RDP рд╕реЗрд╡рд╛ рдХрд╛ рдПрдХ рдШрдЯрдХ;
  • % systemroot% \ system32 \ rfxvmt.dll RemoteFX рдкреНрд░реМрджреНрдпреЛрдЧрд┐рдХрд┐рдпреЛрдВ рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рдХреЗ рдбреЗрдЯрд╛ рд╕рдВрдЪрд╛рд░рд┐рдд рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рдПрдХ RDP рд╕реЗрд╡рд╛ рдШрдЯрдХ рд╣реИред

рдкреЗрд▓реЛрдб рдХреЛ рдирд┐рдХрд╛рд▓рдиреЗ рдФрд░ рд░рд┐рдХреЙрд░реНрдб рдХрд░рдиреЗ рдХреЗ рдмрд╛рдж, рд╕реНрдХреНрд░рд┐рдкреНрдЯ рдЕрдкрдиреЗ рдШрдЯрдХреЛрдВ рдХреЗ рд╕рд╣реА рд╕рдВрдЪрд╛рд▓рди рдХреЛ рд╕реЗрдЯ рдХрд░рддреА рд╣реИ:

  • rfxvmt.dll рдШрдЯрдХ рдХреЗ рд╕реНрд╡рд╛рдореА рдХреЛ NT SERVICE \ TrustedInstaller рдореЗрдВ рдкрд░рд┐рд╡рд░реНрддрд┐рдд рдХрд░рддрд╛ рд╣реИ рдФрд░ рдЖрд╡рд╢реНрдпрдХ рдЕрдзрд┐рдХрд╛рд░ рджреЗрддрд╛ рд╣реИ;
  • RDP рдХрдиреЗрдХреНрд╢рди рдХреЗ рд▓рд┐рдП рдкреЛрд░реНрдЯ рдореВрд▓реНрдп рдХреЛ рдорд╛рдирдХ 3389 рд╕реЗ 7201 рддрдХ рдмрджрд▓рддрд╛ рд╣реИ;
  • рдПрдХ рдиреЗрдЯрд╡рд░реНрдХ рд╕реЗрд╡рд╛ рдЦрд╛рддрд╛ рд╕реНрдерд╛рдиреАрдп рд╡реНрдпрд╡рд╕реНрдерд╛рдкрдХ рд╕рдореВрд╣ рдореЗрдВ рдЬреЛрдбрд╝рддрд╛ рд╣реИ
  • рд░рдЬрд┐рд╕реНрдЯрд░ RDP рд╕реЗрд╡рд╛ рдХреЗ рд░реВрдк рдореЗрдВ hlp11.dat рдФрд░ рд╕реЗрд╡рд╛ рдХреЛ рдкреБрдирд░рд╛рд░рдВрдн рдХрд░рддрд╛ рд╣реИ;
  • рдмрдирд╛рдИ рдЧрдИ рдЕрд╕реНрдерд╛рдпреА рдлрд╝рд╛рдЗрд▓реЛрдВ рдХреЛ рд╣рдЯрд╛рддрд╛ рд╣реИред

рд╕рд░реНрд╡рд╣реЗрд▓рд░ рдЖрд░рдПрдЯреА тЖТ рдбреНрд░реЙрдкрд░


рдбреНрд░реЙрдкрд░ рдХреЗ рдкрд░рд┐рдгрд╛рдореЛрдВ рдореЗрдВ рд╕реЗ рдПрдХ hlp12.dat DLL рд╣реИ, рдЬреЛ рдПрдХ рд╕рд░реНрд╡рд░ рд╣реЗрд▓рд╡реЗрдпрд░ рд╣реИред OS рдХреЗ рдмрд┐рдЯ рдЖрдХрд╛рд░ рдХреЗ рдЖрдзрд╛рд░ рдкрд░ рд▓рд╛рдЗрдмреНрд░реЗрд░реА рдХреЗ x86- рдФрд░ x64- рджреЛрдиреЛрдВ рд╕рдВрд╕реНрдХрд░рдгреЛрдВ рдХреЛ рдмрдирд╛рдпрд╛ рдЬрд╛ рд╕рдХрддрд╛ рд╣реИ (рдЙрдирдХреЗ рдмреАрдЪ рдХреЛрдИ рдореВрд▓рднреВрдд рдЕрдВрддрд░ рдирд╣реАрдВ рд╣реИрдВ)ред рджреЛрдиреЛрдВ рд╕рдВрд╕реНрдХрд░рдг рдбреЗрд▓реНрдлреА рдореЗрдВ рд▓рд┐рдЦреЗ рдЧрдП рд╣реИрдВ, рдЬреЛ UPX 3.95 (x64) рдФрд░ PeCompact 2.20 (x86) рдХреЗ рд╕рд╛рде рдкреИрдХ рдХрд┐рдП рдЧрдП рд╣реИрдВред рдкреНрд░реВрдлрдкреЙрдЗрдВрдЯ рдФрд░ рдЯреНрд░реЗрдВрдб рдорд╛рдЗрдХреНрд░реЛ рдХреЗ рд╣рдорд╛рд░реЗ рд╕рд╣рдпреЛрдЧрд┐рдпреЛрдВ рдиреЗ рдкрд╣рд▓реЗ рдЗрд╕ рдкрд┐рдЫрд▓реЗ рджрд░рд╡рд╛рдЬреЗ рдХреЗ рд╡рд┐рддрд░рдг рдФрд░ рд╕рдВрдЪрд╛рд▓рди рдХрд╛ рд╡рд┐рд╢реНрд▓реЗрд╖рдг рдкреНрд░рд╕реНрддреБрдд рдХрд┐рдпрд╛ рдерд╛ред рдХрдИ рдорд╛рдорд▓реЛрдВ рдореЗрдВ рд╣рдорд╛рд░реЗ рдирдореВрдиреЗ рдХреА рдХреНрд╖рдорддрд╛рдУрдВ рдХрд╛ рд╢рд╕реНрддреНрд░рд╛рдЧрд╛рд░ рдкрд╣рд▓реЗ рд╕реЗ рд╣реА рдЬреНрдЮрд╛рдд рдХреЗ рд╕рд╛рде рдкрд░рд┐рд╡рд░реНрддрд┐рдд рд╣реЛ рдЬрд╛рддрд╛ рд╣реИ: рд╡рд┐рд╢реЗрд╖ рд░реВрдк рд╕реЗ, рдЙрдкрдпреЛрдЧ рдХрд┐рдП рдЧрдП рддрд╛рд░реЛрдВ ( рд╡рд┐рдЧреЗрдирд┐рдпрд░ рд╕рд┐рдлрд░ ) рдХреЛ рдбрд┐рдХреНрд░рд┐рдкреНрдЯ рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рдПрд▓реНрдЧреЛрд░рд┐рдереНрдо рдирд╣реАрдВ рдмрджрд▓рд╛ рдЧрдпрд╛ рд╣реИ:



рдЕрдВрдЬреАрд░ред 9. рд╡рд┐рдЧреЗрдирд┐рдпрд░ рд╕рд┐рдлрд░ рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рдХреЗ рд╕реНрдЯреНрд░рд┐рдВрдЧреНрд╕ рдХреЛ рдбрд┐рдХреНрд░рд┐рдкреНрдЯ рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рд╕реНрдпреВрдбреЛрдХреЛрдб

рджрд┐рд▓рдЪрд╕реНрдк рд╣реИ, рдПрдиреНрдХреНрд░рд┐рдкреНрд╢рди рд╕рднреА рд╕реНрдЯреНрд░рд┐рдВрдЧреНрд╕ рдХреЗ рд▓рд┐рдП рд▓рд╛рдЧреВ рдирд╣реАрдВ рдХрд┐рдпрд╛ рдЬрд╛рддрд╛ рд╣реИ: рдЙрджрд╛рд╣рд░рдг рдХреЗ рд▓рд┐рдП, рдЕрддрд┐рд░рд┐рдХреНрдд рдШрдЯрдХреЛрдВ рдХреЗ рд╕рд╛рде рдирд┐рдпрдВрддреНрд░рдг рдбреЛрдореЗрди рдФрд░ рд╡реЗрдм рд▓рд┐рдВрдХ рдХреЗ рдкрддреЗ рдЦреБрд▓реЗ рд░рд╣рддреЗ рд╣реИрдВ:



рдЕрдВрдЬреАрд░ред 10. рдЕрдирдПрдиреНрдХреНрд░рд┐рдкреНрдЯреЗрдб рдбреЛрдореЗрди рдФрд░ рд╡реЗрдм рд▓рд┐рдВрдХ

рдЗрдирдореЗрдВ рд╕реЗ рдХрд┐рд╕реА рдПрдХ рд▓рд┐рдВрдХ (hxxp: //letitbe.icu/2.txt) рдХреЛ рдПрдХреНрд╕реЗрд╕ рдХрд░рддреЗ рд╕рдордп, рдПрдХ рдПрдиреНрдХреНрд░рд┐рдкреНрдЯреЗрдб рдлрд╝рд╛рдЗрд▓ рдбрд╛рдЙрдирд▓реЛрдб рдХреА рдЬрд╛рддреА рд╣реИ (MD5: 0528104f496dd13438dd764e747d0778)ред рдЬрдм рдПрдХ рд╣реЗрдХреНрд╕ рд╕рдВрдкрд╛рджрдХ рдореЗрдВ рдПрдХ рдлрд╝рд╛рдЗрд▓ рдХреЗ рдЕрдВрдд рдХрд╛ рд╡рд┐рд╢реНрд▓реЗрд╖рдг рдХрд░рддреЗ рд╣реИрдВ, рддреЛ рдЖрдк рдмрд╛рдЗрдЯ 0x09 рдХреЗ рдореВрд▓реНрдп рдХреЗ рд▓рдЧрд╛рддрд╛рд░ рджреЛрд╣рд░рд╛рд╡ рдХреЛ рдиреЛрдЯрд┐рд╕ рдХрд░ рд╕рдХрддреЗ рд╣реИрдВ:



рдЕрдВрдЬреАрд░ред 11. рдбрд╛рдЙрдирд▓реЛрдб рдХреА рдЧрдИ рдлрд╝рд╛рдЗрд▓ рдореЗрдВ 0x09 рдмрд╛рдЗрдЯ рдХреЛ рджреЛрд╣рд░рд╛рдПрдВ

рдбреБрдкреНрд▓рд┐рдХреЗрдЯ рдмрд╛рдЗрдЯ рдорд╛рди рдПрдиреНрдХреНрд░рд┐рдкреНрд╢рди рдХреЗ рд░реВрдк рдореЗрдВ рдПрдХрд▓-рдмрд╛рдЗрдЯ XOR рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рдиреЗ рдХрд╛ рдПрдХ рд╕рд╛рдорд╛рдиреНрдп рд╕рдВрдХреЗрдд рд╣реИред рдЗрд╕ рдорд╛рдорд▓реЗ рдореЗрдВ, рдЗрд╕ рд╕рд┐рджреНрдзрд╛рдВрдд рдХреА рдкреБрд╖реНрдЯрд┐ рдХреЛрдб рджреНрд╡рд╛рд░рд╛ рдХреА рдЬрд╛рддреА рд╣реИ:



рдЕрдВрдЬреАрд░ред 12. рдПрдХрд▓-рдмрд╛рдЗрдЯ XOR рдПрдиреНрдХреНрд░рд┐рдкреНрд╢рди рдлрд╝рдВрдХреНрд╢рди



рдЕрдВрдЬреАрд░ред 13. XOR рдлрд╝рдВрдХреНрд╢рди рдХреЛ рдПрдХ рддрд░реНрдХ рдХреЗ рд░реВрдк рдореЗрдВ рдПрдХрд▓-рдмрд╛рдЗрдЯ рдорд╛рди рдкрд╛рд╕ рдХрд░рдирд╛

рдбрд┐рдХреНрд░рд┐рдкреНрд╢рди рдХреЗ рдкрд░рд┐рдгрд╛рдорд╕реНрд╡рд░реВрдк, рд╣рдореЗрдВ рдирд┐рдореНрдирд▓рд┐рдЦрд┐рдд рд╕рд╛рдордЧреНрд░рд┐рдпреЛрдВ рдХреЗ рд╕рд╛рде рдПрдХ рдЬрд╝рд┐рдк рд╕рдВрдЧреНрд░рд╣ рдкреНрд░рд╛рдкреНрдд рд╣реЛрдЧрд╛:



рдЕрдВрдЬреАрд░ред 14. рдбрд┐рдХреНрд░рд┐рдкреНрдЯ рдХрд┐рдП рдЧрдП рдЬрд╝рд┐рдк рд╕рдВрдЧреНрд░рд╣ рдХреА рд╕рд╛рдордЧреНрд░реА

рд╕рднреА рдлрд╛рдЗрд▓реЗрдВ рдиреЗрдЯрд╕рдкреЙрд░реНрдЯ рдкреНрд░рдмрдВрдзрдХ рдкреАрд╕реА рдХреЗ рд░рд┐рдореЛрдЯ рдХрдВрдЯреНрд░реЛрд▓ рдХреЗ рд▓рд┐рдП рд╡реИрдз рд╕реЙрдлреНрдЯрд╡реЗрдпрд░ рд╣реИрдВ, рдЬреЛ рд╡рд┐рднрд┐рдиреНрди рд╕рдореВрд╣реЛрдВ рдХреЗ рд╣рдорд▓рд╛рд╡рд░реЛрдВ рджреНрд╡рд╛рд░рд╛ рдмрд╛рд░-рдмрд╛рд░ рдЙрдкрдпреЛрдЧ рдХрд┐рдпрд╛ рдЧрдпрд╛ рд╣реИред



рдЕрдВрдЬреАрд░ред 15. рдиреЗрдЯрд╕реБрдкреЛрд░реНрдЯ рдкреНрд░рдмрдВрдзрдХ рд╕реЙрдлреНрдЯрд╡реЗрдпрд░ рд╡рд┐рд╡рд░рдг

рдлрд╝рд╛рдЗрд▓реЛрдВ рдореЗрдВ рд╕реЗ рдПрдХ (client32.ini) рдПрдХ рдХреЙрдиреНрдлрд╝рд┐рдЧрд░реЗрд╢рди рдлрд╝рд╛рдЗрд▓ рд╣реИ, рдЬрд┐рд╕рдореЗрдВ рдордзреНрдпрд╡рд░реНрддреА рдЧреЗрдЯрд╡реЗ рдХрд╛ рдкрддрд╛ рд╣реЛрддрд╛ рд╣реИ, рдЬрд┐рд╕рдХреЗ рдорд╛рдзреНрдпрдо рд╕реЗ рдкреАрдбрд╝рд┐рдд рдХрд╛ рдкреАрд╕реА рд╣рдорд▓рд╛рд╡рд░реЛрдВ рд╕реЗ рдЬреБрдбрд╝ рдЬрд╛рдПрдЧрд╛:



рдЕрдВрдЬреАрд░ред 16. рд╣рдорд▓рд╛рд╡рд░ рдиреЗрдЯрд╕реЗрдкреЙрд░реНрдЯ рдкреНрд░рдмрдВрдзрдХ рдЧреЗрдЯрд╡реЗ рдХреЗ рд░реВрдк рдореЗрдВ рд╕рдВрдмреЛрдзрд┐рдд рдХрд░рддреЗ рд╣реИрдВ

рдпрд╣ рд╡рд┐рдХрд▓реНрдк рд╕рдордЭ рдореЗрдВ рдЖрддрд╛ рд╣реИ рдХрд┐ рдкреАрдбрд╝рд┐рдд рдлрд╝рд╛рдпрд░рд╡реЙрд▓ рдХреЗ рдкреАрдЫреЗ рд╣реИ, рдФрд░ рдЗрдВрдЯрд░рдиреЗрдЯ рдПрдХреНрд╕реЗрд╕ рдкреЛрд░реНрдЯ рджреНрд╡рд╛рд░рд╛ рд╕реАрдорд┐рдд рд╣реИред рдЗрдВрдЯрд░рдиреЗрдЯ рдкрд░ рд╕рд╣реА рдврдВрдЧ рд╕реЗ рдХрд╛рдо рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП, рдЖрдкрдХреЛ рдХрдо рд╕реЗ рдХрдо рджреЛ рдмрдВрджрд░рдЧрд╛рд╣реЛрдВ, 80 (HTTP) рдФрд░ 443 (HTTPS) рддрдХ рдкрд╣реБрдВрдЪ рдЦреЛрд▓рдиреА рд╣реЛрдЧреА, рдЗрд╕рд▓рд┐рдП рдПрдХ рд╕рдлрд▓ рдХрдиреЗрдХреНрд╢рди рдХреА рд╕рдВрднрд╛рд╡рдирд╛ рдмрдврд╝ рдЬрд╛рддреА рд╣реИред

рд╕рд┐рддрдВрдмрд░ 2019 рдореЗрдВ, рд╣рдордиреЗ рд╡рд┐рдХрд▓реНрдкреЛрдВ рдХреА рдПрдХ рд╕реАрдорд┐рдд рд╕реАрдорд╛ рдХреЗ рд╕рд╛рде рдХрдИ рд╕рдорд╛рди ServHelper рдирдореВрдиреЛрдВ рдХреА рдЦреЛрдЬ рдХреАред рдЙрджрд╛рд╣рд░рдг рдХреЗ рд░реВрдк рдореЗрдВ рдЙрдирдореЗрдВ рд╕реЗ рдПрдХ рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рдирд╛ (MD5: 5b79a0c06aec6126364ce1d5cbfedf66): рдирд┐рд╖реНрдкрд╛рджрди рдпреЛрдЧреНрдп PE рдлрд╝рд╛рдЗрд▓ рдХреЗ рд╕рдВрд╕рд╛рдзрдиреЛрдВ рдХреЗ рдмреАрдЪ рдПрдХ рджреЛрд╣рд░рд╛рдП рдЧрдП рдмрд╛рдЗрдЯ рдХреЗ рд░реВрдк рдореЗрдВ рдПрдХ рд╕рдорд╛рди рд╡рд┐рд╢реЗрд╖рддрд╛ рдХреЗ рд╕рд╛рде рдПрдиреНрдХреНрд░рд┐рдкреНрдЯреЗрдб рдбреЗрдЯрд╛ рд╣реИрдВ:



рдЕрдВрдЬреАрд░ред 17. ServHelper рд╕рдВрд╕рд╛рдзрдиреЛрдВ рдореЗрдВ рдПрдиреНрдХреНрд░рд┐рдкреНрдЯреЗрдб рдбреЗрдЯрд╛
рдпрд╣ рдПрдХ рдмрд╛рдЗрдЯ рдХреЗ рд╕рд╛рде рдлрд┐рд░ рд╕реЗ "рдХреНрд▓реЙрдЧреНрдб" рдПрдХ рдЬрд╝рд┐рдк рд╕рдВрдЧреНрд░рд╣ рд╣реИ, рдЬрд┐рд╕рдореЗрдВ рдиреЗрдЯрд╕рдкреЙрд░реНрдЯ рдкреНрд░рдмрдВрдзрдХ рдХреЗ рд╕рдорд╛рди рдШрдЯрдХ рд╢рд╛рдорд┐рд▓ рд╣реИрдВ, рд╣рд╛рд▓рд╛рдВрдХрд┐ рдЗрд╕ рдмрд╛рд░ рдПрдХ рдЕрд▓рдЧ рдордзреНрдпрд╡рд░реНрддреА рдЧреЗрдЯрд╡реЗ рдХреЗ рд╕рд╛рде: 179 [ред] 43.146.90: 443ред

рдирд┐рд╖реНрдХрд░реНрд╖


рдЗрд╕ рд▓реЗрдЦ рдореЗрдВ, рд╣рдордиреЗ TA505 рдкрд┐рдЫрд▓реЗ рджрд░рд╡рд╛рдЬреЗ рдХреА рд╕рд░реНрд╡рд┐рд╕ рдФрд░ рдЙрдкрдпреЛрдЧ рдХреЗ рд▓рд┐рдП рд╡рд┐рдХрд▓реНрдкреЛрдВ рдореЗрдВ рд╕реЗ рдПрдХ рдХреА рдЬрд╛рдБрдЪ рдХреА - ServHelperред рдореБрдЦреНрдп рдШрдЯрдХ (рдЙрджрд╛рд╣рд░рдг рдХреЗ рд▓рд┐рдП, рдпреВрдПрд╕реА рдФрд░ рд╡рд┐рд╢реЗрд╖рд╛рдзрд┐рдХрд╛рд░ рд╡реГрджреНрдзрд┐ рдХреЛ рджрд░рдХрд┐рдирд╛рд░) рдХреЗ рд╕рдВрдЪрд╛рд▓рди рд╕реЗ рдкрд╣рд▓реЗ рдХреА рдЙрддреНрд╕реБрдХ рд╡рд┐рд╢реЗрд╖рддрд╛рдУрдВ рдХреЗ рдЕрд▓рд╛рд╡рд╛, рд╣рдордиреЗ рдореБрдЦреНрдп рдмреИрдХрдбреЛрд░ рдХреЗ рджрд┐рд▓рдЪрд╕реНрдк рд░реВрдкрд╛рдВрдХрдиреЛрдВ рдкрд░ рдзреНрдпрд╛рди рджрд┐рдпрд╛: рдмреБрдирд┐рдпрд╛рджреА рдХрд╛рд░реНрдпрдХреНрд╖рдорддрд╛ (рдбреЗрдЯрд╛ рдЪреЛрд░реА, рдЬрд╛рд╕реВрд╕реА рдФрд░ рдХрдорд╛рдВрдб рдирд┐рд╖реНрдкрд╛рджрди) рджреВрд░рд╕реНрде рдкреАрд╕реА рдкреНрд░рдмрдВрдзрди рдХреЗ рд▓рд┐рдП рдПрдХ рдЕрдиреНрдп рдЯреВрд▓ - рдиреЗрдЯрд╕рдкреЙрд░реНрдЯ рдЖрд░рдПрдЯреА рдХреЛ рдПрдореНрдмреЗрдб рдХрд░рдХреЗ рдкреВрд░рдХ рдХрд┐рдпрд╛ рдЧрдпрд╛ рдерд╛ред рдЗрд╕рдХреЗ рдЕрд▓рд╛рд╡рд╛, ServHelper рдХреЗ рдирдП рд╕рдВрд╕реНрдХрд░рдгреЛрдВ рдореЗрдВ рдЕрдм рдкреНрд░рдореБрдЦ рд╡рд┐рд╢реЗрд╖рддрд╛рдПрдВ рдирд╣реАрдВ рдереАрдВ, рдЬреЛ рдЗрд╕реЗ рдкреВрд░реНрдг-рдмреИрдХрдбреЛрд░ рдХреЗ рд░реВрдк рдореЗрдВ рдмрдирд╛рддреА рд╣реИрдВ: рдЕрдм рдпрд╣ рдХреЗрд╡рд▓ NetSupport RAT рдХреЛ рд╕реНрдерд╛рдкрд┐рдд рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рдПрдХ рдордзреНрдпрд╡рд░реНрддреА рдбреНрд░реЙрдкрд░ рдХреЗ рд░реВрдк рдореЗрдВ рдХрд╛рд░реНрдп рдХрд░рддрд╛ рд╣реИред рд╕рдВрднрд╡рддрдГ, рд╣рдорд▓рд╛рд╡рд░реЛрдВ рдиреЗ рдЗрд╕ рджреГрд╖реНрдЯрд┐рдХреЛрдг рдХреЛ рд╡рд┐рдХрд╛рд╕ рдХреЗ рд╕рдВрджрд░реНрдн рдореЗрдВ рдФрд░ рдкрд╣рдЪрд╛рди рдХреНрд╖рдорддрд╛рдУрдВ рдХреЗ рд╕рдВрджрд░реНрдн рдореЗрдВ рдЕрдзрд┐рдХ рдкреНрд░рднрд╛рд╡реА рдкрд╛рдпрд╛ред рд╣рд╛рд▓рд╛рдВрдХрд┐, рд╣рдорд╛рд░реЗ рд▓рд┐рдП рдмреНрдпрд╛рдЬ рдХреЗ рд╕рдореВрд╣ рдЙрдкрдХрд░рдгреЛрдВ рдХреА рд╕реВрдЪреА рд╕рдорд╛рдкреНрдд рдирд╣реАрдВ рд╣реЛрддреА рд╣реИред

рдПрд▓реЗрдХреНрд╕реА рд╡рд┐рд╖реНрдгрдХреЛрд╡, рд╕рдХрд╛рд░рд╛рддреНрдордХ рдЯреЗрдХреНрдиреЛрд▓реЙрдЬреАрдЬ рджреНрд╡рд╛рд░рд╛ рдкреЛрд╕реНрдЯ рдХрд┐рдпрд╛ рдЧрдпрд╛
IOCs
hxxp: //185.225.17.175/wrkn157.exe - рд╡рд╣ рд╡реЗрдм рд▓рд┐рдВрдХ рдЬрд┐рд╕рдореЗрдВ рд╕реЗ NSIS рдбреНрд░реЙрдкрд░ рд▓реЛрдб рдХрд┐рдпрд╛ рдЧрдпрд╛ рдерд╛
d2a062ca772fa3ace7c7edadbd95eaf7 - рдореВрд▓ NSIS рдбреНрд░реЙрдкрд░
0cacea3329f35e88a4f9619190e3746f - PowerShell рдбреНрд░реЙрдкрд░ рд╢рд┐рдкрдХрдЯ .ps1
fb609b00e29689db74c853ca7d69f440 - CRYPTBASE.dll (x86)
843288a35906aa90b2d1cc6179588a26 - CRYPTBASE.dll (x64)
445cd6df302610bb640baf2d06438704 - hlp11.dat (x86)
083f66cc0e0f626bbcc36c7f143561bd - hlp11.dat (x64)
40bae264ea08b0fa115829c5d74bf3c1 - hlp12.dat (x86)
ac72ab230608f2dca1da1140e70c92ad - hlp12.dat (x64)
07f1dc2a9af208e88cb8d5140b54e35e - hlp13.dat
1690e3004f712c75a2c9ff6bcde49461 - rdpclip.exe
dc39d23e4c0e681fad7a3e1342a2843c - rfxvdt.ll
ServHelper C2:
179 [ред] 43.156.32
185 [ред] 163.45.124
185 [ред] 163.45.175
185 [ред] 225.17.150
185 [ред] 225.17.169
185 [ред] 225.17.175
185 [ред] 225.17.98
195 [ред] 123.221.66
195 [ред] 123.246.192
37 [ред] 252.8.63
94 [ред] 158.245.123
94 [ред] 158.245.154
94 [ред] 158.245.232
fdguyt5ggs [ред] pw
foxlnklnk [ред] xyz
gidjshrvz [ред] xyz
рд▓реЗрдЯрд┐рдЯрдмреЗ [ред] рдЗрдХреБ
pofasfafha [ред] xyz
0528104f496dd13438dd764e747d0778 - NetSupport JAT рдХреЗ рд╕рд╛рде рдПрдиреНрдХреНрд░рд┐рдкреНрдЯреЗрдб рдЬрд╝рд┐рдк рд╕рдВрдЧреНрд░рд╣
NetSupport рдкреНрд░рдмрдВрдзрдХ рдШрдЯрдХ:
953896600dfb86750506706f1599d415 - cksini.exe
8d9709ff7d9c83bd376e01912c734f0a - client32.exe
2d3b207c8a48148296156e5725426c7f - HTCTL32.DLL
0e37fbfa79d349d672456923ec5fbbe3 - msvcr100.dll
26e28c01461f7e65c402bdf09923d435 - nskbfltr.inf
88b1dab8f4fd1ae879685995c90bd902 - NSM.ini
7067af414215ee4c50bfcd3ea43c84f0 - NSM.LIC
dcde2248d19c778a41aa165866dd52d0 - pcicapi.dll
a0b9388c5f18e27266a31f8c5765b263 - PCICHEK.DLL
00587238d16012152c2e951a087f2cc9 - PCICL32.DLL
2a77875b08d4d2bb7b654db33a88f16c - remcmstst.exe
eb603d12705752e3d268d86dff74ed4 - TCCTL32.DLL
185 [ред] 225.17.66: 443 - рдиреЗрдЯрд╕реБрдкреЛрд░реНрдЯ рдЖрд░рдПрдЯреА рдЧреЗрдЯрд╡реЗрдПрдбреНрд░реЗрд╕
5b79a0c06aec6126364ce1d5cbfedf66 - NetSupport RAT рд╕рдВрдЧреНрд░рд╣ рдХреЗ рд╕рд╛рде рд╕рд░реНрд╡рд░
179 [ред] 43.146.90: 443 - рдиреЗрдЯрд╕реБрдкреЛрд░реНрдЯ рдЖрд░рдПрдЯреА рдЧреЗрдЯрд╡реЗрдПрдбреНрд░реЗрд╕

Source: https://habr.com/ru/post/hi471960/

More articles:


All Articles