Почему не было опроса в прошлую пятницу? 😨
Anonymous Poll
13%
После предыдущего про Конституцию постучали 🍆
11%
Расследовали инцидент 🕵️
5%
Были заняты покупкой подарков 🎁
7%
Украшали елку иоками 🎄
10%
19 декабря — Всемирный день без опросов 🙈
6%
Юристы запретили ⛔️
2%
Дали возможность другим сделать свои опросы ❓
1%
Проводили технические работы 👨🔧
28%
Пили сок на корпоративе 🧃
18%
Ну не было и не было 🤷
😁17🎄7☃5
«Налоговая проверка» из Восточной Азии 🚪
В начале исследования команда Threat Intelligence PT ESC обнаружила атаки на несколько российских банков. Все замеченные сообщения отправлялись с домена
Сам домен
Вредоносные письма содержали уведомления о налоговой проверке якобы от Федеральной налоговой службы (ФНС) и побуждали пользователей скачать «пакет документов», приложенный к сообщению (скриншот 2).
Архивы содержали несколько DLL-файлов,
👀 Особый интерес представляют три файла:
• Проверьте этот файл.exe —
• QQMusicCommon.dll —
• 9LmcIWuG.png —
Файл
На VirusTotal он загружался под разными именами, в основном из России:
•
•
•
Также он был загружен из Тайваня с именами
При запуске .exe с помощью техники DLL-sideloading подгружается
Вредоносная DLL является дроппером, который считывает и расшифровывает полезную нагрузку из файла 9LmcIWuG.png и запускает ее.
Во всех случаях, которые мы обнаружили, полезной нагрузкой являлась ValleyRAT, ассоциированная с китайской киберпреступной активностью. В нашем случае в качестве C2 выступал IP-адрес
В процессе дальнейшего изучения мы увидели, что помимо сэмплов «
Хотя часть файлов, нацеленных на Индию, использовали тот же C2, во время исследования архивов, связанных с атаками на Индию, мы обнаружили дополнительный C2, который применялся преимущественно в этих атаках —
Помимо Индии, некоторые файлы были загружены из Непала и Индонезии, но большая часть все же была из Индии. Атаки на индийские компании начались раньше, чем на российские — в начале декабря. На момент атак C2
Учитывая TTP, используемое ПО, а также вероятный фишинговый ресурс, мы предполагаем, что за атакой может стоять восточноазиатская финансово мотивированная группировка Silver Fox 🦊
#TI #Phishing #APT
@ptescalator
В начале исследования команда Threat Intelligence PT ESC обнаружила атаки на несколько российских банков. Все замеченные сообщения отправлялись с домена
onmbv.com, например: TAX@notifications.onmbv.com, TAX@news.onmbv.comСам домен
onmbv.com был зарегистрирован 2025-09-14. Если перейти на сайт, то ONMBV позиционирует себя как масштабируемая инфраструктура с современными технологиями. При этом сам сайт выглядит как заглушка для фишинга с неработающим функционалом, кроме самого базового отображения с типичным интерфейсом (скриншот 1).Вредоносные письма содержали уведомления о налоговой проверке якобы от Федеральной налоговой службы (ФНС) и побуждали пользователей скачать «пакет документов», приложенный к сообщению (скриншот 2).
Архивы содержали несколько DLL-файлов,
.exe и .png. Например, файл -ФНС России.zip (SHA-256: 81e64f5c5b06dd415e4fd60defac5f1573d5c9d83094181bf359f9e5af8765da) содержал файлы со скриншота 3.👀 Особый интерес представляют три файла:
• Проверьте этот файл.exe —
2b6679179a67b3c4b24e4708802a15b3bd3655a60aa0de4ce5b39b6814ec31d1• QQMusicCommon.dll —
9a037129dd9fd9f2f776c7d996b82dac76042ae0f69c765522ff2f0904d726da• 9LmcIWuG.png —
dc7b25b00804ca264648ea5e280bfec4d818495ad24daa11daa6069a0621d317Файл
.exe сам по себе является чистым .exe с иконкой PDF в качестве декоя.На VirusTotal он загружался под разными именами, в основном из России:
•
Документ.exe•
Откройте и ознакомьтесь с файлом.ex_•
坏抉抗批技快扶找.exe (упрощенный китайский)Также он был загружен из Тайваня с именами
Namelist.exe и Откройте.exe.При запуске .exe с помощью техники DLL-sideloading подгружается
QQMusicCommon.dll, которая притворяется компонентом популярного в Китае музыкального приложения-сервиса QQ Music. Сама библиотека обфусцирована с использованием Control-Flow Flattening.Вредоносная DLL является дроппером, который считывает и расшифровывает полезную нагрузку из файла 9LmcIWuG.png и запускает ее.
Во всех случаях, которые мы обнаружили, полезной нагрузкой являлась ValleyRAT, ассоциированная с китайской киберпреступной активностью. В нашем случае в качестве C2 выступал IP-адрес
207.56.138.28 из Гонконга.🐀 ValleyRAT — это вредоносная программа типа RAT (троян удаленного доступа), написанная на C++. Она позволяет хакерам незаметно управлять зараженным компьютером, следить за экраном, красть данные и загружать дополнительные модули. Некоторые источники называют ValleyRAT вариантом старого Gh0st RAT, однако это отдельное ПО с похожим функционалом. Впервые была замечена в начале 2023 года, распространяется через фишинг и поддельные установщики популярных программ.
В процессе дальнейшего изучения мы увидели, что помимо сэмплов «
ФНС» у нас есть множество архивов «CBDT», например «CBDT.zip». В нашем случае CBDT — Central Board of Direct Taxes, индийский аналог ФНС.Хотя часть файлов, нацеленных на Индию, использовали тот же C2, во время исследования архивов, связанных с атаками на Индию, мы обнаружили дополнительный C2, который применялся преимущественно в этих атаках —
108.187.37.85. Файлы, связанные с этим C2, использовали тот же kill chain: .exe, DLL-sideloading и «картинки» с ValleyRAT.Помимо Индии, некоторые файлы были загружены из Непала и Индонезии, но большая часть все же была из Индии. Атаки на индийские компании начались раньше, чем на российские — в начале декабря. На момент атак C2
108.187.37.85 также находился в Гонконге, однако на данный момент ASN изменился (сервер больше не расположен в Гонконге).Учитывая TTP, используемое ПО, а также вероятный фишинговый ресурс, мы предполагаем, что за атакой может стоять восточноазиатская финансово мотивированная группировка Silver Fox 🦊
#TI #Phishing #APT
@ptescalator
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥16🎄9☃8❤2👍1🤡1
IoCs в дополнение к посту выше 🔼
IP
Архивы
#TI #ioc #Phishing #APT
@ptescalator
IP
207.56.138.28
108.187.37.85
Архивы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#TI #ioc #Phishing #APT
@ptescalator
❤12👍11🔥9🙏1🤡1
Как вам первое января 2026-го? 🎅
Anonymous Poll
8%
Меня уже шифруют 🔐
10%
Меня еще не шифруют 🤷♀️
16%
Я уже сам зашифровался 🥴
17%
Выключил инфру перед праздниками 😴
5%
Расследую инцидент под оливье 🥗
16%
Это будет сложный год 😣
8%
Сок закончился 🧃
6%
Мне не до опросов 😡
14%
А что, уже? 😨
🎄16☃9🎅7😁3❤1🤡1
consumerWiper: архитектура и механизм работы. Часть 1 ☹️
В ходе расследования одного из инцидентов командой реагирования PT ESC был обнаружен вайпер
С помощью утилиты lessmsi можно посмотреть список файлов (скриншот 1), которые содержатся в пакете, и извлечь их для последующего изучения. В таблице CustomAction определена команда, выполняемая во время установки MSI-пакета:
С ее помощью создается исполняемая каждую минуту задача с именем
📂 Вайпер состоит из шести исполняемых файлов со следующими функциями:
•
•
•
•
•
Разберем функционал и особенности реализации компонентов ВПО.
1️⃣ collect32.exe
При запуске с аргументом командной строки
2️⃣ consume32.exe
Утилита выполняет основную работу по уничтожению файлов. При запуске в аргументах командной строки передаются:
• путь до листинга файлов, подлежащих затиранию (например, созданный
• количество строк, которые следует пропустить
• количество строк, которые следует обработать
• режим затирания (
Вместо удаления файлов используется алгоритм перезаписи данных блоками по 1 МБ, содержащими
3️⃣ fullscreen32.exe
Выводит окно, показывающее ложное сообщение о сбое ОС и восстановлении файлов (скриншот 2). С помощью вызовов
4️⃣, 5️⃣ disconnect32.exe / disconnect64.exe
При запуске перечисляют все сетевые адаптеры (GUID класса —
6️⃣ control32.exe
Центральный компонент вайпера, ответственный за оркестрацию всех прочих утилит. Запускается с двумя аргументами —
Именно эта утилита запускается с помощью созданной при установке задачи планировщика с аргументами:
• YES
•
Утилиты запускаются в следующем порядке (скриншот 3):
1.
2.
3.
4.
Отдельно стоит отметить, что при запуске
#dfir #ir #wiper #malware
@ptescalator
В ходе расследования одного из инцидентов командой реагирования PT ESC был обнаружен вайпер
consumerWiper, распространяемый в виде установочного пакета MSI и состоящий из нескольких функциональных компонентов.С помощью утилиты lessmsi можно посмотреть список файлов (скриншот 1), которые содержатся в пакете, и извлечь их для последующего изучения. В таблице CustomAction определена команда, выполняемая во время установки MSI-пакета:
cmd.exe /c schtasks /create /ru SYSTEM /tn task /sc minute /tr "\"C:\users\control32.exe\" YES 3407657776"
С ее помощью создается исполняемая каждую минуту задача с именем
task, запускающая основной компонент ВПО от имени SYSTEM.📂 Вайпер состоит из шести исполняемых файлов со следующими функциями:
•
collect32.exe — рекурсивный обход файловой системы и составление листинга файлов•
consume32.exe — уничтожение файлов•
fullscreen32.exe — вывод окна с сообщением о системном сбое•
disconnect32.exe / disconnect64.exe — отключение всех сетевых адаптеров в системе•
control32.exe — запуск и координация остальных утилитРазберем функционал и особенности реализации компонентов ВПО.
1️⃣ collect32.exe
При запуске с аргументом командной строки
YES перечисляет файлы на каждом логическом диске и записывает результат в файл list_%d.dll (где %d — порядковый номер диска, каждая строка файла — один путь). При запуске без аргумента или с любым другим аргументом перечисляются файлы в каталоге trash (значения ключа, отличные от YES, не используются в процессе работы ВПО, так что предположительно использовались для тестирования утилиты). Утилита игнорирует файлы с расширением .dll и все файлы в каталогах C:\Program Files\, C:\Program Files (x86)\ и C:\Windows.2️⃣ consume32.exe
Утилита выполняет основную работу по уничтожению файлов. При запуске в аргументах командной строки передаются:
• путь до листинга файлов, подлежащих затиранию (например, созданный
list_%d.dll)• количество строк, которые следует пропустить
• количество строк, которые следует обработать
• режим затирания (
1MB/ALL)Вместо удаления файлов используется алгоритм перезаписи данных блоками по 1 МБ, содержащими
0xFF. Утилита имеет два режима перезаписи данных: 1 МБ в начале каждого файла или полная перезапись файла. В обоих вариантах перезапись начинается с оффсета в 512 байт.3️⃣ fullscreen32.exe
Выводит окно, показывающее ложное сообщение о сбое ОС и восстановлении файлов (скриншот 2). С помощью вызовов
ShowCursor(0) и BlockInput(1) блокируется взаимодействие пользователя с системой. По достижении 100% утилита зависает в бесконечном цикле, отображая максимальный прогресс.4️⃣, 5️⃣ disconnect32.exe / disconnect64.exe
При запуске перечисляют все сетевые адаптеры (GUID класса —
4D36E972-E325-11CE-BFC1-08002BE10318) и отключают их. Наличие 64-битной версии обусловлено тем, что 32-битные программы запускаются на 64-битных системах с помощью WOW64, поэтому работа с драйверами устройств может происходить не совсем корректно.6️⃣ control32.exe
Центральный компонент вайпера, ответственный за оркестрацию всех прочих утилит. Запускается с двумя аргументами —
YES / любое другое значение и метка времени. При запуске проверяется, что системное время в момент запуска больше, чем то, которое указано в аргументах командной строки, иначе происходит завершение работы ВПО без выполнения полезной нагрузки.Именно эта утилита запускается с помощью созданной при установке задачи планировщика с аргументами:
• YES
•
3407657776Утилиты запускаются в следующем порядке (скриншот 3):
1.
collect32.exe (с передачей аргумента YES при наличии)2.
fullscreen32.exe3.
disconnect32.exe / disconnect64.exe (в зависимости от архитектуры машины)4.
consume32.exeОтдельно стоит отметить, что при запуске
consume32.exe для каждого диска запускается отдельный поток исполнения, в котором над пачками по 1000 файлов вызывается сначала частичное уничтожение (аргумент 1MB, скриншот 4), а затем — десятикратное полное уничтожение (аргумент ALL) (скриншот 5).#dfir #ir #wiper #malware
@ptescalator
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥18❤12👍8
consumerWiper: архитектура и механизм работы. Часть 2 ❗️
Выводы
Анализ данного ВПО демонстрирует рациональный подход злоумышленников. Поскольку перезапись больших файлов занимает достаточно много времени, они прибегают к поэтапному уничтожению. На первом этапе происходит частичное повреждение как можно большего количества файлов, и только после этого выполняется полная перезапись всех файлов. Подобная стратегия позволяет ВПО нанести как можно больший ущерб за короткое время.
Хеш-суммы (SHA256):
#ioc #dfir #ir #wiper #malware
@ptescalator
Выводы
Анализ данного ВПО демонстрирует рациональный подход злоумышленников. Поскольку перезапись больших файлов занимает достаточно много времени, они прибегают к поэтапному уничтожению. На первом этапе происходит частичное повреждение как можно большего количества файлов, и только после этого выполняется полная перезапись всех файлов. Подобная стратегия позволяет ВПО нанести как можно больший ущерб за короткое время.
Хеш-суммы (SHA256):
7A00F5219F61850B5999BDE9669094AC8932971E15978D11962E42AF964C096C
89E0F599AFA7705DF55BF345C41236E70EFA813C7E82CAEE4171DCE678010B66
E4DFCF17AAB37F01B0D24010CAB1875F28EE545A9D330C85DE1A21EC682E840F
8554F4062D3FC3DD8EFEDA65B8620CE74D98B125627D5BE72BCA7B0930EDF737
5CFCE12D2C8687EBA1529EC82F93B85FF2B503959D19D82E9873C0C473CAEBE1
BA2D428D5B4E0EE1CC4A952FEC254DE453D8514E546F64919ABD13C0BBC59473
#ioc #dfir #ir #wiper #malware
@ptescalator
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥22❤9👍7
Продал телефон со своими персональными данными ☹️
При покупке донорских устройств на площадках по продаже личных вещей прослеживается негативная тенденция: многие люди редко беспокоятся о безопасности своих данных. Особенно это касается продажи неисправных устройств и старых телефонов, которыми уже не пользуются.
Из наиболее частых причин продажи указывают:
➖ повреждение порта зарядки и передачи данных;
➖ повреждение экрана и матрицы устройства;
➖ полная разрядка или неисправность аккумуляторной батареи;
➖ проблемы с загрузкой операционной системы устройства.
При определенных навыках ремонта злоумышленник может без проблем восстановить доступ ко всей информации на устройстве.
Наличие парольной защиты также не является панацеей: с помощью различных уязвимостей мобильных устройств и определенных инструментов можно извлечь данные с обходом блокировки. О том, как это могут сделать на устройствах iOS, ранее писали тут.
В разговоре многие продавцы сами сообщают не только пароли для доступа к телефону, но и к учетной записи, привязанной к устройству. Такая доброта зачастую оказывается на руку злоумышленнику: получив пароль от учетной записи, он может выгружать содержимое облачных резервных копий, а также удаленно блокировать все ваши устройства, привязанные к учетной записи.
Персональные данные, которые можно получить из таких устройств:
1️⃣ SMS-сообщения.
Помимо переписки абонентов, в них могут быть сведения о регистрации на сторонних ресурсах, данные аккаунтов пользователя, части номеров платежных карт.
2️⃣ Журнал вызовов устройства.
На основании этих данных злоумышленник может установить круг общения продавца.
3️⃣ Фотоизображения, видеозаписи и записи диктофона.
Эту информацию злоумышленники могут использовать для генерации дипфейков и шантажа владельца. Фотографии паспортов, банковских карт и других документов с персональными данными могут быть использованы напрямую в преступных целях.
4️⃣ Переписки в мессенджерах.
Информация, которой вы делитесь с другими людьми, ваши «кружочки» и голосовые сообщения — все это дополняет портрет вашей личности и может быть использовано для создания дипфейков.
5️⃣ Список контактов абонента.
Позволяет целенаправленно распространять информацию среди ваших знакомых.
6️⃣ Учетные записи пользователя, пароли доступа к онлайн-сервисам.
Несмотря на периодические утечки данных и необходимость использования индивидуальных паролей для разных ресурсов, многие все еще используют один пароль для входа на все сайты. Двухфакторная аутентификация дает дополнительную защиту от несанкционированного доступа, но если злоумышленник получит валидный токен доступа к сайту, срок действия которого еще не истек, 2FA не поможет. Если пароль доступа не подошел, а токен не валиден, злоумышленник может проверить пароли по различным утечкам данных.
7️⃣ Местоположение устройства в конкретный момент времени.
При включенной геолокации можно узнать место проживания человека и места его частого посещения.
Необдуманная продажа техники может иметь серьезные последствия, если устройство попадет к злоумышленнику.
При продаже придерживайтесь следующих мер безопасности:
1️⃣ Если устройство полностью работоспособно: выйдите из ваших аккаунтов, осуществите сброс устройства к заводским настройкам. Для iPhone и iPad воспользуйтесь инструкцией Apple для подготовки устройства к продаже.
2️⃣ Если устройство имеет технические повреждения и нет возможности выполнить сброс к заводским настройкам: продайте устройство по запчастям, без платы с чипом памяти.
3️⃣ Если устройство уже продали:
➖ установите 2FA для всех учетных записей;
➖ закройте активные сессии, связанные с проданным устройством;
➖ смените пароли на сервисах, к которым был доступ с этого устройства;
➖ придумайте и сообщите близким код-слово для подтверждения подлинности просьб от вашего имени о переводе денег и иной помощи.
Для написания этого поста было куплено около 30 телефонов, так что случаи не единичные 🙂
#mobile #ios #android #tip
@ptescalator
При покупке донорских устройств на площадках по продаже личных вещей прослеживается негативная тенденция: многие люди редко беспокоятся о безопасности своих данных. Особенно это касается продажи неисправных устройств и старых телефонов, которыми уже не пользуются.
Из наиболее частых причин продажи указывают:
При определенных навыках ремонта злоумышленник может без проблем восстановить доступ ко всей информации на устройстве.
Наличие парольной защиты также не является панацеей: с помощью различных уязвимостей мобильных устройств и определенных инструментов можно извлечь данные с обходом блокировки. О том, как это могут сделать на устройствах iOS, ранее писали тут.
В разговоре многие продавцы сами сообщают не только пароли для доступа к телефону, но и к учетной записи, привязанной к устройству. Такая доброта зачастую оказывается на руку злоумышленнику: получив пароль от учетной записи, он может выгружать содержимое облачных резервных копий, а также удаленно блокировать все ваши устройства, привязанные к учетной записи.
Персональные данные, которые можно получить из таких устройств:
Помимо переписки абонентов, в них могут быть сведения о регистрации на сторонних ресурсах, данные аккаунтов пользователя, части номеров платежных карт.
На основании этих данных злоумышленник может установить круг общения продавца.
Эту информацию злоумышленники могут использовать для генерации дипфейков и шантажа владельца. Фотографии паспортов, банковских карт и других документов с персональными данными могут быть использованы напрямую в преступных целях.
Информация, которой вы делитесь с другими людьми, ваши «кружочки» и голосовые сообщения — все это дополняет портрет вашей личности и может быть использовано для создания дипфейков.
Позволяет целенаправленно распространять информацию среди ваших знакомых.
Несмотря на периодические утечки данных и необходимость использования индивидуальных паролей для разных ресурсов, многие все еще используют один пароль для входа на все сайты. Двухфакторная аутентификация дает дополнительную защиту от несанкционированного доступа, но если злоумышленник получит валидный токен доступа к сайту, срок действия которого еще не истек, 2FA не поможет. Если пароль доступа не подошел, а токен не валиден, злоумышленник может проверить пароли по различным утечкам данных.
При включенной геолокации можно узнать место проживания человека и места его частого посещения.
Необдуманная продажа техники может иметь серьезные последствия, если устройство попадет к злоумышленнику.
При продаже придерживайтесь следующих мер безопасности:
Для написания этого поста было куплено около 30 телефонов, так что случаи не единичные 🙂
#mobile #ios #android #tip
@ptescalator
Please open Telegram to view this post
VIEW IN TELEGRAM
👍9❤7🔥7🙉2👌1