Тише, тише: новая кампания против стран СНГ 🤫
Во второй половине 2025 года мы обнаружили новую серию атак группы SweetSpecter, нацеленных на страны СНГ (Узбекистан, Туркменистан), в рамках которой злоумышленники распространяли вредоносные документы Microsoft Office (скриншоты 1–3).
Документы были оформлены по единому шаблону и содержали обращение к пользователю с предложением «включить» якобы защищенное содержимое. После открытия файла и активации макросов автоматически выполнялся встроенный скрипт, который декодировал и извлекал закодированное в Base64 содержимое в каталог
• ebook-edit.exe — легитимный исполняемый файл, связанный с редактором электронных книг Calibre;
• Calibre-Launcher.dll — вредоносная библиотека, расшифровывающая и запускающая полезную нагрузку;
• edit2.hlp — зашифрованная полезная нагрузка.
📨 Варианты данной рассылки включали ресурсы, дополнительно зашифрованные однобайтовым XOR. Во вредоносных макросах также присутствовала проверка на наличие запущенного антивирусного процесса
Основная роль
💡 Стоит отметить, что загрузчик проверяет, не искажены ли системные задержки. Для этого создается вспомогательный поток с отложенной сигнализацией события. Основной поток ожидает его с небольшим тайм-аутом. В случае если ожидаемое событие сигнализировано, это означает, что что-то не так, и выполнение прекращается.
Итоговый модуль, который мы назвали SilentNode, при запуске закрепляется в системе, перемещая себя и связанные компоненты (
🔄 После перезагрузки выполнение переходит к сетевому взаимодействию с управляющим сервером — выполняется формирование базовой информации о системе: версии операционной системы, имени компьютера и пользователя, а также сведений о сетевых интерфейсах. Сформированный ответ в результате упаковывается в бинарный контейнер с добавлением идентификатора системы. Данные кодируются с использованием нестандартного варианта Base64 и шифруются алгоритмом
SilentNode по сути является загрузчиком, и основная его функциональность сводится к периодическому опросу C2-сервера, рефлективной загрузке и последующему выполнению полученных от C2 PE-модулей в памяти.
IoCs — в посте ниже 👇
#ti #phishing #malware
@ptescalator
Во второй половине 2025 года мы обнаружили новую серию атак группы SweetSpecter, нацеленных на страны СНГ (Узбекистан, Туркменистан), в рамках которой злоумышленники распространяли вредоносные документы Microsoft Office (скриншоты 1–3).
Документы были оформлены по единому шаблону и содержали обращение к пользователю с предложением «включить» якобы защищенное содержимое. После открытия файла и активации макросов автоматически выполнялся встроенный скрипт, который декодировал и извлекал закодированное в Base64 содержимое в каталог
%APPDATA% под следующими именами:• ebook-edit.exe — легитимный исполняемый файл, связанный с редактором электронных книг Calibre;
• Calibre-Launcher.dll — вредоносная библиотека, расшифровывающая и запускающая полезную нагрузку;
• edit2.hlp — зашифрованная полезная нагрузка.
📨 Варианты данной рассылки включали ресурсы, дополнительно зашифрованные однобайтовым XOR. Во вредоносных макросах также присутствовала проверка на наличие запущенного антивирусного процесса
avp.exe. При наличии антивируса процесс запускался с отображением окна, в противном случае — в скрытом режиме (скриншот 4).Основная роль
Calibre-Launcher.dll сводится к расшифровке и запуску следующего этапа вредоносной цепочки, содержимое которого хранится в файле edit2.hlp и зашифровано с применением алгоритма RC4. Расшифрованная полезная нагрузка начинается с выполнения шелл-кода, который восстанавливает затертые MZ- и PE-сигнатуры, а также корректирует смещения DOS-заголовка. После этого управление передаётся на точку входа восстановленного PE-файла, где начинается основная логика агента.💡 Стоит отметить, что загрузчик проверяет, не искажены ли системные задержки. Для этого создается вспомогательный поток с отложенной сигнализацией события. Основной поток ожидает его с небольшим тайм-аутом. В случае если ожидаемое событие сигнализировано, это означает, что что-то не так, и выполнение прекращается.
Итоговый модуль, который мы назвали SilentNode, при запуске закрепляется в системе, перемещая себя и связанные компоненты (
ebook-edit.exe, Calibre-Launcher.dll и edit2.hlp) в каталог C:\ProgramData\USOShared\Logs, а затем через временный скрипт %TEMP%\c.bat создает задачу планировщика (скриншот 5), обеспечивающую запуск полезной нагрузки каждые две минуты. Завершив процесс закрепления, текущий экземпляр завершает работу и далее перезапускается уже в контексте созданной задачи.🔄 После перезагрузки выполнение переходит к сетевому взаимодействию с управляющим сервером — выполняется формирование базовой информации о системе: версии операционной системы, имени компьютера и пользователя, а также сведений о сетевых интерфейсах. Сформированный ответ в результате упаковывается в бинарный контейнер с добавлением идентификатора системы. Данные кодируются с использованием нестандартного варианта Base64 и шифруются алгоритмом
ChaCha20. В дальнейшем агент в циклическом режиме, делая случайные паузы до одной минуты, отправляет подготовленные сообщения на C2-сервер, используя HTTP POST-запросы, и ожидает ответ. Примечательно, что во всех исследуемых образцах использовался одинаковый endpoint /Search/v<№>.SilentNode по сути является загрузчиком, и основная его функциональность сводится к периодическому опросу C2-сервера, рефлективной загрузке и последующему выполнению полученных от C2 PE-модулей в памяти.
IoCs — в посте ниже 👇
#ti #phishing #malware
@ptescalator
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥15🎄5☃4❤1✍1👍1🗿1
IoCs в дополнение к посту выше 🔼
DOCS
CAlibre-LAuncher.dll
edit2.hlp
C2
Filepath
#ti #phishing #malware
@ptescalator
DOCS
391f30807d3cf333cdc286d1ff5b0f58
0287ba0ecc176ae63ea1d1e053654f32
3eb0b0811c0ab9e87e2ee7f7bac7c46a
22573d874ac9ffa785e57d94e243b48d
f6b126c83ea4a63f277199d7c06617d6
b44a3229ab54f7367ee2acd678bec2d5
CAlibre-LAuncher.dll
4395e8e7351de03faac54492ee2bc874
1100e1d599b5e4f87082670673c8abfb
84533ef6651f38fe162ad2753f1ad788
15c839292684ac6374633d231dbd76a7
e0b008ea6eef411ed6f9faab8f1d3bee
7b00beb5a7ef4a142ebcdcc052b312a3
edit2.hlp
022287b05e4c5ba5503f2b798219f5e9
17134fe1344744cf99a93483f6859212
77dc27fb2ed18f3977241e9475097746
86a164a403a94c8ccd4f0ba383fa943c
906e49f334041ebccc071985ecdcf2ba
5e7b3664311b2daa9ee040b3cff4d82f
C2
www.mubrn.com
188.214.39.243
www.tmtransport.org
194.14.217.146
91.132.94.58
45.153.127.226
Filepath
C:\Users\admin\AppData\Local\Temp\c.bat
C:\ProgramData\USOShared\Logs\edit2.hlp
C:\ProgramData\USOShared\Logs\CAlibre-LAuncher.dll
C:\ProgramData\USOShared\Logs\ebook-edit.exe
#ti #phishing #malware
@ptescalator
👍14☃7🎄6
(C)all (F)or (P)apers!
Ты не понаслышке знаешь, как бороться с реальными киберугрозами: киберразведка, threat hunting, мониторинг в SOC, реагирование и расследование инцидентов? Тогда ждем твое выступление на треке Defense.
Здесь говорят те, кто умеет определять угрозу по одному взгляду на индикаторы атаки, придумывают новые гипотезы и инструменты для отслеживания и поиска угроз, приезжают когда угодно и куда угодно, чтобы помочь справиться с инцидентом.
Мы ждем практиков, которые знают, как выглядит атака в ее реальном исполнении, и готовы поделиться уникальными находками, рабочими инструментами и увлекательными историями.
У каждого эксперта на нашем треке будет 30 минут, чтобы рассказать свой доклад.
Еще не подал доклад? Держи ссылку!
#PHDays
@ptescalator
Ты не понаслышке знаешь, как бороться с реальными киберугрозами: киберразведка, threat hunting, мониторинг в SOC, реагирование и расследование инцидентов? Тогда ждем твое выступление на треке Defense.
Здесь говорят те, кто умеет определять угрозу по одному взгляду на индикаторы атаки, придумывают новые гипотезы и инструменты для отслеживания и поиска угроз, приезжают когда угодно и куда угодно, чтобы помочь справиться с инцидентом.
Мы ждем практиков, которые знают, как выглядит атака в ее реальном исполнении, и готовы поделиться уникальными находками, рабочими инструментами и увлекательными историями.
У каждого эксперта на нашем треке будет 30 минут, чтобы рассказать свой доклад.
Еще не подал доклад? Держи ссылку!
#PHDays
@ptescalator
🔥14☃9🎉9🍾4❤1👎1🎄1
Фантом во плоти 👻
Летом 2025 года команда Threat Intelligence экспертного центра кибербезопасности Positive Technologies проанализировала операцию Phantom Enigma, преимущественно направленную на жителей Бразилии с целью кражи банковских аккаунтов. Помимо атак на обычных пользователей, были зафиксированы атаки на организации по всему миру с целью расширения инфраструктуры для дальнейших атак.
Пользователи заражались вредоносным расширением для браузеров Firefox, Google Chrome и Microsoft Edge, в то время как инфраструктура организаций оказывалась под контролем инструментов для удаленного управления, например PDQ Connect или Mesh Agent.
🍂 Осенью 2025 года специалисты группы киберразведки также фиксировали подобные атаки, наблюдая изменения в инструментарии и техниках закрепления. Например, появились новые инструменты класса RMM, изменилась логика работы сервера злоумышленников, а окна браузеров Microsoft Edge и Google Chrome у жертв начали пересекать новые пространства.
👀 В нашей статье мы рассказали, какие атаки были обнаружены, что изменилось и насколько действия группировки Phantom Enigma массовые (спойлер:достаточно ).
#TI #APT
@ptescalator
Летом 2025 года команда Threat Intelligence экспертного центра кибербезопасности Positive Technologies проанализировала операцию Phantom Enigma, преимущественно направленную на жителей Бразилии с целью кражи банковских аккаунтов. Помимо атак на обычных пользователей, были зафиксированы атаки на организации по всему миру с целью расширения инфраструктуры для дальнейших атак.
Пользователи заражались вредоносным расширением для браузеров Firefox, Google Chrome и Microsoft Edge, в то время как инфраструктура организаций оказывалась под контролем инструментов для удаленного управления, например PDQ Connect или Mesh Agent.
🍂 Осенью 2025 года специалисты группы киберразведки также фиксировали подобные атаки, наблюдая изменения в инструментарии и техниках закрепления. Например, появились новые инструменты класса RMM, изменилась логика работы сервера злоумышленников, а окна браузеров Microsoft Edge и Google Chrome у жертв начали пересекать новые пространства.
👀 В нашей статье мы рассказали, какие атаки были обнаружены, что изменилось и насколько действия группировки Phantom Enigma массовые (спойлер:
#TI #APT
@ptescalator
Please open Telegram to view this post
VIEW IN TELEGRAM
✍10🔥7🎅5❤1🎄1
🤑 Помогу задонатить
Недавно нам на исследование поступил экземпляр вредоносного приложения, с помощью которого у пользователей Android похищают деньги (скриншот 1). В 2015 году студенты Дармштадтского технического университета создали приложение NFCGate для отладки протоколов передачи NFC-данных. Злоумышленники модифицировали данное приложение и стали использовать его в своих целях.
В этом году число атак с помощью NFC-технологии многократно увеличилось. Если раньше злоумышленники звонили пользователям и писали им в мессенджеры, теперь они находят своих жертв в чатах игр для детей.
Мошенническая схема выглядит следующим образом:
1️⃣ Ребенку в чате мобильной игры пишет неизвестный, общается и внедряется к нему в доверие.
2️⃣ Он сообщает ребенку о том, что можно бесплатно получить игровую валюту, если он установит на телефон мобильное приложение.
3️⃣ При открытии приложение запрашивает разрешение на установку в качестве основного приложения для NFC-платежей.
4️⃣ Злоумышленник сообщает ребенку о том, что транзакция не прошла и Центральный банк может заблокировать карту и доступ ко всем деньгам на счете.
5️⃣ Для того чтобы этого не произошло, ребенку нужно снять в банкомате все наличные и положить их на его банковскую карту, которую ребенку помогли открыть мошенники. При этом все «безопасно», ведь телефон находится в руках.
6️⃣ После того как ребенок подносит телефон к банкомату, ему сообщают новый пин-код от карты и требуют внести деньги на счет.
7️⃣ Происходит зачисление денег на карту мошенника, после чего злоумышленник через серию переводов самому себе на счета в разных банках уводит похищенные деньги.
Технические особенности
Для работы приложение запрашивает 3 разрешения:
➖ NFC — для доступа к системе оплаты по NFC;
➖ ACCESS_NETWORK_STATE — для проверки сетевого доступа;
➖ INTERNET — для подключения через WebSocket.
В манифесте приложения 3 активности:
➖ MainActivity;
➖ CardActivity (имя активности —
➖ CardHostApduService.
Приложение функционирует по следующему алгоритму:
1️⃣ В
2️⃣ Приложение переходит к
3️⃣ Общение банкомата с сервером управления реализовано в
4️⃣ Ожидается ответ от сервера. Пользователю при этом выводится информация: «
5️⃣ Если сервер недоступен или ответ не поступает более 10 секунд, команды кэшируются и поступают в очередь.
6️⃣ После чего команды транслируются банкомату.
7️⃣ Банкомат воспринимает приложение как реальную банковскую карту и производит выполнение APDU-команд, поступивших от сервера управления.
Как защититься от таких атак:
1. Устанавливайте приложения из доверенных источников: официальных магазинов приложений и сайтов производителей.
2. При установке приложений будьте внимательны к запрашиваемым разрешениям, в особенности к системе оплаты NFC, доступу к интернету, СМС-сообщениям.
3. Используйте антивирусные решения.
4. На устройствах детей пользуйтесь средствами родительского контроля для ограничения установки приложений.
5. Помните: приложение Центрального банка России не предназначено для выполнения NFC-платежей и выглядит иначе (скриншот 6).
#dfir #mobile
@ptescalator
Недавно нам на исследование поступил экземпляр вредоносного приложения, с помощью которого у пользователей Android похищают деньги (скриншот 1). В 2015 году студенты Дармштадтского технического университета создали приложение NFCGate для отладки протоколов передачи NFC-данных. Злоумышленники модифицировали данное приложение и стали использовать его в своих целях.
В этом году число атак с помощью NFC-технологии многократно увеличилось. Если раньше злоумышленники звонили пользователям и писали им в мессенджеры, теперь они находят своих жертв в чатах игр для детей.
Мошенническая схема выглядит следующим образом:
Технические особенности
Для работы приложение запрашивает 3 разрешения:
В манифесте приложения 3 активности:
PAYpunto 🤖);Приложение функционирует по следующему алгоритму:
MainActivity осуществляется проверка доступности интернета. Если доступа нет, выводится сообщение: «Ошибка: нет подключения к интернету».CardActivity, в которой осуществляется открытие index.html (скриншот 2). С помощью WebSocket устанавливается соединение с сервером управления, адрес которого прописан в connection.json (скриншот 3). Для защищенного соединения используется сертификат сервера из ресурсов приложения — server.pem. Если в процессе подключения к серверу произошла ошибка, подключение осуществляется по другому порту: wss://default-server-url:7000 (скриншот 4).CardHostApduService. При подключении телефона к банкомату он отправляет APDU-команды приложению. Далее осуществляется проверка доступности подключения к серверу управления. Если он доступен, формируется JSON и отправляется на сервер управления (скриншот 5).Пожалуйста, подождите, ваша карта находится в процессе активации».Как защититься от таких атак:
1. Устанавливайте приложения из доверенных источников: официальных магазинов приложений и сайтов производителей.
2. При установке приложений будьте внимательны к запрашиваемым разрешениям, в особенности к системе оплаты NFC, доступу к интернету, СМС-сообщениям.
3. Используйте антивирусные решения.
4. На устройствах детей пользуйтесь средствами родительского контроля для ограничения установки приложений.
5. Помните: приложение Центрального банка России не предназначено для выполнения NFC-платежей и выглядит иначе (скриншот 6).
#dfir #mobile
@ptescalator
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍8☃6🎄5🔥3🤡1
IoCs в дополнение к посту выше 🔼
IP
SHA-256
#dfir #mobile
@ptescalator
IP
45.11.27.203
85.208.208.86
85.208.208.196
193.124.125.215
213.108.4.96
213.108.4.104
213.108.4.113
213.108.4.115
213.108.4.125
SHA-256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#dfir #mobile
@ptescalator
🔥11❤8👍7
Используем IoC нестандартно. Часть 2. Ландшафт угроз 🧘♀️
Ранее мы рассказывали про то, как использовать индикаторы компрометации для Threat Hunting. В этот раз поговорим про ландшафт угроз и о том, как можно использовать IOC-фиды для его построения. Напомним, что ландшафт угроз ИБ — это совокупность фактических и потенциальных угроз, уязвимостей и рисков, которые могут повлиять на безопасность информационных систем организации.
Рассматривая связь между IOC-фидами и построением ландшафта угроз ИБ, можно предложить следующий подход. В течение заданного периода времени вы можете отслеживать поступающие срабатывания по индикаторам в рамках всех типов СЗИ. Далее, получив перечень срабатываний, вы можете провести над ними аналитику: с какими семействами и группировками связаны выявленные индикаторы, какие уязвимости они эксплуатируют и т. д. Изучив эти данные, вы получите первичное представление о том, кто и как таргетит конкретно вас. Дополнительно изучив, какие техники реализуют выявленные группировки и семейства, вы получите актуальный на данный момент времени ландшафт угроз.
Основные преимущества этого подхода — опора на подтвержденные события и возможность предсказать следующие шаги конкретных злоумышленников. Но есть и недостатки: привязка к существующим детектам и сокращение покрытия анализа до срабатываний на СЗИ. Если для конкретной техники или угрозы детект отсутствует или он не отработал, то такая активность может остаться незамеченной.
🤔 В рамках анализа реальных сработок аналитик может ответить на ряд вопросов на основании наблюдаемой активности:
🔵 Какие группировки таргетят нашу организацию? Релевантны ли для нас связанные с ними угрозы?
🔵 Какие семейства ВПО уже были зафиксированы в нашей инфраструктуре и какие техники они реализуют?
🔵 Какие техники атак применялись против нас на разных этапах Cyber Kill Chain?
🔵 Какие уязвимости злоумышленники пытались эксплуатировать? Актуальны ли они для нас?
Существует и второй подход к его построению. Он предполагает поиск потенциальных угроз без ожидания срабатываний, с опорой на данные TI-систем и аналитические отчеты. В этом случае фокус смещается: отслеживаются не конкретные атаки на организацию, а актуальные варианты атак на компании конкретного сектора экономики или региона. Логика в том, что если ваша организация функционирует в рамках определенной отрасли в определенной стране, то атаки, характерные для этой отрасли и этой страны, будут опасны и для вас.
Объем данных при таком подходе значительно больше, однако вместе с этим расширяется и видимость — как фактических, так и потенциальных рисков. Аналитик получает возможность выявлять угрозы заранее, до появления инцидентов в собственной инфраструктуре. И тут он может ответить практически на те же вопросы, но более широкие:
🔴 Какие группировки, релевантные для нашего сектора экономики/региона, наиболее активны?
🔴 Какие семейства ВПО входят в арсенал этих группировок и потенциально могут быть использованы против нас в будущем?
🔴 Какие вредоносные техники характерны для данных группировок на разных этапах атаки? Насколько они пересекаются с нашим текущим покрытием детектирования СЗИ?
🔴 Какие уязвимости активно эксплуатируются в нашем секторе экономики/регионе? Актуальны ли они для нас?
На практике оба подхода не противопоставляются друг другу, а используются совместно. Совмещая фактические срабатывания с информацией об угрозах для отрасли / региона, аналитик может:
🔴 Выявить, какие вредоносные техники релевантны для организации;
🔴 Определить, какие техники остаются недетектируемыми и требуют покрытия;
🔴 Оценить, какие угрозы уже актуальны, а какие с высокой вероятностью могут проявиться в будущем;
🔴 Сопоставить эксплуатируемые группировками уязвимости с реальным состоянием инфраструктуры.
Построение и анализ ландшафта угроз — хороший способ предусмотреть проактивные меры для защиты информационных систем, разработать качественную стратегию управления рисками и повысить общий уровень информационной безопасности организации.
#ioc #detect #tip
@ptescalator
Ранее мы рассказывали про то, как использовать индикаторы компрометации для Threat Hunting. В этот раз поговорим про ландшафт угроз и о том, как можно использовать IOC-фиды для его построения. Напомним, что ландшафт угроз ИБ — это совокупность фактических и потенциальных угроз, уязвимостей и рисков, которые могут повлиять на безопасность информационных систем организации.
Рассматривая связь между IOC-фидами и построением ландшафта угроз ИБ, можно предложить следующий подход. В течение заданного периода времени вы можете отслеживать поступающие срабатывания по индикаторам в рамках всех типов СЗИ. Далее, получив перечень срабатываний, вы можете провести над ними аналитику: с какими семействами и группировками связаны выявленные индикаторы, какие уязвимости они эксплуатируют и т. д. Изучив эти данные, вы получите первичное представление о том, кто и как таргетит конкретно вас. Дополнительно изучив, какие техники реализуют выявленные группировки и семейства, вы получите актуальный на данный момент времени ландшафт угроз.
Основные преимущества этого подхода — опора на подтвержденные события и возможность предсказать следующие шаги конкретных злоумышленников. Но есть и недостатки: привязка к существующим детектам и сокращение покрытия анализа до срабатываний на СЗИ. Если для конкретной техники или угрозы детект отсутствует или он не отработал, то такая активность может остаться незамеченной.
🤔 В рамках анализа реальных сработок аналитик может ответить на ряд вопросов на основании наблюдаемой активности:
Существует и второй подход к его построению. Он предполагает поиск потенциальных угроз без ожидания срабатываний, с опорой на данные TI-систем и аналитические отчеты. В этом случае фокус смещается: отслеживаются не конкретные атаки на организацию, а актуальные варианты атак на компании конкретного сектора экономики или региона. Логика в том, что если ваша организация функционирует в рамках определенной отрасли в определенной стране, то атаки, характерные для этой отрасли и этой страны, будут опасны и для вас.
Объем данных при таком подходе значительно больше, однако вместе с этим расширяется и видимость — как фактических, так и потенциальных рисков. Аналитик получает возможность выявлять угрозы заранее, до появления инцидентов в собственной инфраструктуре. И тут он может ответить практически на те же вопросы, но более широкие:
На практике оба подхода не противопоставляются друг другу, а используются совместно. Совмещая фактические срабатывания с информацией об угрозах для отрасли / региона, аналитик может:
Построение и анализ ландшафта угроз — хороший способ предусмотреть проактивные меры для защиты информационных систем, разработать качественную стратегию управления рисками и повысить общий уровень информационной безопасности организации.
#ioc #detect #tip
@ptescalator
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥15❤10🥰7🫡1
Новое окно в темном режиме 🫣
В процессе мониторинга новых сетевых угроз в отделе сетевой экспертизы был замечен подозрительный трафик, который порождался файлом
После запуска на хосте открывался документ-приманка и инициировалось сетевое взаимодействие с API Google, причем внешне оно было похоже на легитимные запросы, а не на типичный обмен с C2. Эта история нас заинтриговала, поэтому мы решили углубиться в анализ образца и понять, что именно он делает и какую роль в этой схеме играют неожиданные сетевые запросы к Google 🔍
Сразу перейдем к поведенческому анализу. После запуска в директорию
🙆 После более внимательного взгляда на имена параметров все стало достаточно прозрачно: вредонос проставлял
Именно последствия работы этих скриптов мы в первую очередь и увидели в сетевом дампе (скриншот 5). Сначала обычным GET-запросом на C2
🌐 Такая тактика дает злоумышленнику устойчивый рычаг управления браузером. Как только пользователь «попался», атакующий получает возможность централизованно развернуть вредоносные политики и расширения либо настроить прокси для перехвата трафика. Самое неприятное — часть активности выглядит как легитимное администрирование, поэтому без контекста такую компрометацию довольно легко пропустить.
Stay tuned and happy hunting!
IoCs:
#network #C2 #phishing #AVLab
@ptescalator
В процессе мониторинга новых сетевых угроз в отделе сетевой экспертизы был замечен подозрительный трафик, который порождался файлом
INTIMACAO_2025_006647.exe. Он маскировался под PDF и в переводе с португальского означал «Вызов в суд» (скриншот 1). После запуска на хосте открывался документ-приманка и инициировалось сетевое взаимодействие с API Google, причем внешне оно было похоже на легитимные запросы, а не на типичный обмен с C2. Эта история нас заинтриговала, поэтому мы решили углубиться в анализ образца и понять, что именно он делает и какую роль в этой схеме играют неожиданные сетевые запросы к Google 🔍
Сразу перейдем к поведенческому анализу. После запуска в директорию
/Temp дропались несколько PowerShell-скриптов: Clean_policies, Get_token и Apply_cbcm. Суть работы первого заключалась в подготовке зараженной машины — зачистке реестра от уже существующих локальных политик и настроек различных Chromium-браузеров, а также перезапуске браузерных процессов для оперативного применения внесенных изменений (скриншот 2). После этого Get_token.ps1 обращался к удаленному серверу и вытягивал оттуда некий токен (скриншот 3). В завершение третий скрипт, Apply_cbcm (скриншот 4), записывал полученный токен в политики Chrome на уровне системного реестра.🙆 После более внимательного взгляда на имена параметров все стало достаточно прозрачно: вредонос проставлял
CloudManagementEnrollmentToken и включал CloudPolicyOverridesPlatformPolicy, то есть явно переключал браузер на приоритет облачных политик. Такой набор названий практически прямым текстом указывал на использование Chrome Browser Cloud Management (судя по блогу Google Cloud, этот механизм должен был бороться со злом, а не примкнуть к нему) и на то, что основная цель здесь — привязать браузер к удаленной консоли управления, созданной злоумышленником.Именно последствия работы этих скриптов мы в первую очередь и увидели в сетевом дампе (скриншот 5). Сначала обычным GET-запросом на C2
servidorunico.com возвращался тот самый enrollment-токен. Далее, после того как значение оказывалось прописано в реестре, браузер автоматически поднимал следующий этап цепочки — сам инициировал регистрацию в инфраструктуре Google и отправлял POST на API-эндпоинт с параметром request=register_browser. Ключевой маркер в этом запросе находился в заголовке Authorization, где токен передавался как GoogleEnrollmentToken, и именно это превращало внешне легитимный трафик к Google в индикатор привязки браузера к удаленному облачному управлению.Stay tuned and happy hunting!
IoCs:
SHA256: 4442e1b545f0a571af113b0cc7455ecba1a603c81bbf84a52b9e61d332f97233
C2: servidorunico.com
#network #C2 #phishing #AVLab
@ptescalator
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥15❤8🥰5
Почему не было опроса в прошлую пятницу? 😨
Anonymous Poll
13%
После предыдущего про Конституцию постучали 🍆
11%
Расследовали инцидент 🕵️
5%
Были заняты покупкой подарков 🎁
6%
Украшали елку иоками 🎄
10%
19 декабря — Всемирный день без опросов 🙈
6%
Юристы запретили ⛔️
2%
Дали возможность другим сделать свои опросы ❓
1%
Проводили технические работы 👨🔧
28%
Пили сок на корпоративе 🧃
18%
Ну не было и не было 🤷
😁17🎄7☃5