{"id":5916,"date":"2021-10-04T10:25:00","date_gmt":"2021-10-04T07:25:00","guid":{"rendered":"https:\/\/blog.eset.ee\/2021\/10\/04\/famoussparrow-a-suspicious-hotel-guest\/"},"modified":"2021-10-08T15:41:47","modified_gmt":"2021-10-08T12:41:47","slug":"famoussparrow-a-suspicious-hotel-guest","status":"publish","type":"post","link":"https:\/\/blog.eset.ee\/et\/ru\/2021\/10\/04\/famoussparrow-a-suspicious-hotel-guest\/","title":{"rendered":"FamousSparrow: \u043f\u043e\u0434\u043e\u0437\u0440\u0438\u0442\u0435\u043b\u044c\u043d\u044b\u0439 \u0433\u043e\u0441\u0442\u0438\u043d\u0438\u0447\u043d\u044b\u0439 \u0433\u043e\u0441\u0442\u044c"},"content":{"rendered":"\n<p>\u0418\u0441\u0441\u043b\u0435\u0434\u043e\u0432\u0430\u0442\u0435\u043b\u0438 ESET \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0438\u043b\u0438 \u043d\u043e\u0432\u0443\u044e \u0433\u0440\u0443\u043f\u043f\u0443 \u043a\u0438\u0431\u0435\u0440\u0448\u043f\u0438\u043e\u043d\u0430\u0436\u0430, \u0438\u043c\u0435\u044e\u0449\u0443\u044e \u0441\u0432\u043e\u0435\u0439 \u0446\u0435\u043b\u044c\u044e \u043e\u0442\u0435\u043b\u0438, \u043f\u0440\u0430\u0432\u0438\u0442\u0435\u043b\u044c\u0441\u0442\u0432\u0430 \u0438 \u0447\u0430\u0441\u0442\u043d\u044b\u0435 \u043a\u043e\u043c\u043f\u0430\u043d\u0438\u0438 \u043f\u043e \u0432\u0441\u0435\u043c\u0443 \u043c\u0438\u0440\u0443. \u041c\u044b \u043d\u0430\u0437\u0432\u0430\u043b\u0438 \u0435\u0435 FamousSparrow \u0438 \u043f\u043e\u043b\u0430\u0433\u0430\u0435\u043c, \u0447\u0442\u043e \u043e\u043d\u0430 \u0432\u0435\u0434\u0435\u0442 \u0441\u0432\u043e\u044e \u0430\u043a\u0442\u0438\u0432\u043d\u043e\u0441\u0442\u044c \u043f\u043e \u043a\u0440\u0430\u0439\u043d\u0435\u0439 \u043c\u0435\u0440\u0435 \u0441 2019 \u0433\u043e\u0434\u0430.<\/p>\n\n\n\n<p>\u0418\u0437\u0443\u0447\u0430\u044f \u0434\u0430\u043d\u043d\u044b\u0435 \u0442\u0435\u043b\u0435\u043c\u0435\u0442\u0440\u0438\u0438 \u0432 \u0445\u043e\u0434\u0435 \u043d\u0430\u0448\u0435\u0433\u043e \u0440\u0430\u0441\u0441\u043b\u0435\u0434\u043e\u0432\u0430\u043d\u0438\u044f, \u043c\u044b \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0438\u043b\u0438, \u0447\u0442\u043e FamousSparrow \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043b \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u0438 Microsoft Exchange, \u0438\u0437\u0432\u0435\u0441\u0442\u043d\u044b\u0435 \u043a\u0430\u043a ProxyLogon, \u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u043c\u044b \u043f\u043e\u0434\u0440\u043e\u0431\u043d\u043e \u043e\u043f\u0438\u0441\u0430\u043b\u0438 \u0432 \u043c\u0430\u0440\u0442\u0435 2021 \u0433. \u041d\u0430\u043f\u043e\u043c\u0438\u043d\u0430\u0435\u043c, \u0447\u0442\u043e \u044d\u0442\u0430 \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u044c \u0443\u0434\u0430\u043b\u0435\u043d\u043d\u043e\u0433\u043e \u0432\u044b\u043f\u043e\u043b\u043d\u0435\u043d\u0438\u044f \u043a\u043e\u0434\u0430 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043b\u0430\u0441\u044c \u0431\u043e\u043b\u0435\u0435 \u0447\u0435\u043c 10 \u0433\u0440\u0443\u043f\u043f\u0430\u043c\u0438 \u041f\u041f\u0423 \u0434\u043b\u044f \u0437\u0430\u0445\u0432\u0430\u0442\u0430 \u043f\u043e\u0447\u0442\u043e\u0432\u044b\u0445 \u0441\u0435\u0440\u0432\u0435\u0440\u043e\u0432 Exchange \u043f\u043e \u0432\u0441\u0435\u043c\u0443 \u043c\u0438\u0440\u0443. \u041f\u043e \u0434\u0430\u043d\u043d\u044b\u043c \u0442\u0435\u043b\u0435\u043c\u0435\u0442\u0440\u0438\u0438 ESET, FamousSparrow \u043d\u0430\u0447\u0430\u043b \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u044c \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u0438 3 \u043c\u0430\u0440\u0442\u0430 2021 \u0433., \u043d\u0430 \u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0438\u0439 \u0434\u0435\u043d\u044c \u043f\u043e\u0441\u043b\u0435 \u0432\u044b\u043f\u0443\u0441\u043a\u0430 \u043f\u0430\u0442\u0447\u0430, \u0442\u0430\u043a \u0447\u0442\u043e \u044d\u0442\u043e \u0435\u0449\u0435 \u043e\u0434\u043d\u0430 \u0433\u0440\u0443\u043f\u043f\u0430 \u041f\u041f\u0423, \u043a\u043e\u0442\u043e\u0440\u0430\u044f \u0438\u043c\u0435\u043b\u0430 \u0434\u043e\u0441\u0442\u0443\u043f \u043a \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u0438 \u0443\u0434\u0430\u043b\u0435\u043d\u043d\u043e\u0433\u043e \u0432\u044b\u043f\u043e\u043b\u043d\u0435\u043d\u0438\u044f \u043a\u043e\u0434\u0430 ProxyLogon \u0432 \u043c\u0430\u0440\u0442\u0435 2021 \u0433\u043e\u0434\u0430.<\/p>\n\n\n\n<p>\u0412 \u044d\u0442\u043e\u043c \u043f\u043e\u0441\u0442\u0435 \u043c\u044b \u043e\u0431\u0441\u0443\u0434\u0438\u043c \u0430\u0442\u0440\u0438\u0431\u0443\u0446\u0438\u044e \u0433\u0440\u0443\u043f\u043f\u0435 FamousSparrow \u0438 \u0435\u0435 \u0432\u0438\u043a\u0442\u0438\u043c\u043e\u043b\u043e\u0433\u0438\u044e. \u0417\u0430\u0442\u0435\u043c \u043f\u043e\u0441\u043b\u0435\u0434\u0443\u0435\u0442 \u043f\u043e\u0434\u0440\u043e\u0431\u043d\u044b\u0439 \u0442\u0435\u0445\u043d\u0438\u0447\u0435\u0441\u043a\u0438\u0439 \u0430\u043d\u0430\u043b\u0438\u0437 \u043e\u0441\u043d\u043e\u0432\u043d\u043e\u0433\u043e \u0431\u044d\u043a\u0434\u043e\u0440\u0430 \u0433\u0440\u0443\u043f\u043f\u044b, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u043c\u044b \u043d\u0430\u0437\u0432\u0430\u043b\u0438 SparrowDoor.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">\u041f\u0440\u0438\u043c\u0435\u0447\u0430\u043d\u0438\u0435 \u043e\u0431 \u0430\u0442\u0440\u0438\u0431\u0443\u0446\u0438\u0438<\/h2>\n\n\n\n<p>FamousSparrow &#8212; \u0433\u0440\u0443\u043f\u043f\u0430, \u043a\u043e\u0442\u043e\u0440\u0443\u044e \u043c\u044b \u0440\u0430\u0441\u0441\u043c\u0430\u0442\u0440\u0438\u0432\u0430\u0435\u043c \u043a\u0430\u043a \u0435\u0434\u0438\u043d\u0441\u0442\u0432\u0435\u043d\u043d\u043e\u0433\u043e \u0442\u0435\u043a\u0443\u0449\u0435\u0433\u043e \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044f \u043d\u0430\u0441\u0442\u0440\u0430\u0438\u0432\u0430\u0435\u043c\u043e\u0433\u043e \u0431\u044d\u043a\u0434\u043e\u0440\u0430 SparrowDoor (\u043e \u043a\u043e\u0442\u043e\u0440\u043e\u043c \u043c\u044b \u043f\u043e\u0434\u0440\u043e\u0431\u043d\u043e \u0440\u0430\u0441\u0441\u043a\u0430\u0436\u0435\u043c \u0432 \u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0438\u0445 \u0440\u0430\u0437\u0434\u0435\u043b\u0430\u0445 \u043f\u043e\u0441\u0442\u0430). \u041e\u043d\u0430 \u0442\u0430\u043a\u0436\u0435 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442 \u0434\u0432\u0435 \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044c\u0441\u043a\u0438\u0435 \u0432\u0435\u0440\u0441\u0438\u0438 Mimikatz (\u0441\u043c. \u0440\u0430\u0437\u0434\u0435\u043b <em>\u0418\u043d\u0434\u0438\u043a\u0430\u0442\u043e\u0440\u044b \u0443\u0433\u0440\u043e\u0437\u044b<\/em>), \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u043c\u043e\u0436\u043d\u043e \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u044c \u0434\u043b\u044f \u0443\u0441\u0442\u0430\u043d\u043e\u0432\u043b\u0435\u043d\u0438\u044f \u0441\u0432\u044f\u0437\u0438 \u0438\u043d\u0446\u0438\u0434\u0435\u043d\u0442\u043e\u0432 \u0441 \u0434\u0430\u043d\u043d\u043e\u0439 \u0433\u0440\u0443\u043f\u043f\u043e\u0439.<\/p>\n\n\n\n<p>\u0425\u043e\u0442\u044f \u043c\u044b \u0441\u0447\u0438\u0442\u0430\u0435\u043c FamousSparrow \u043e\u0442\u0434\u0435\u043b\u044c\u043d\u043e\u0439 \u0441\u0443\u0449\u043d\u043e\u0441\u0442\u044c\u044e, \u043c\u044b \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0438\u043b\u0438 \u0441\u0432\u044f\u0437\u0438 \u0441 \u0434\u0440\u0443\u0433\u0438\u043c\u0438 \u0438\u0437\u0432\u0435\u0441\u0442\u043d\u044b\u043c\u0438 \u0433\u0440\u0443\u043f\u043f\u0430\u043c\u0438 \u041f\u041f\u0423. \u0412 \u043e\u0434\u043d\u043e\u043c \u0441\u043b\u0443\u0447\u0430\u0435 \u0437\u043b\u043e\u0443\u043c\u044b\u0448\u043b\u0435\u043d\u043d\u0438\u043a\u0438 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043b\u0438 \u0432\u0430\u0440\u0438\u0430\u043d\u0442 Motnug, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u043f\u0440\u0435\u0434\u0441\u0442\u0430\u0432\u043b\u044f\u0435\u0442 \u0441\u043e\u0431\u043e\u0439 \u0437\u0430\u0433\u0440\u0443\u0437\u0447\u0438\u043a, \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u043c\u044b\u0439 \u0432 <a href=\"https:\/\/www.welivesecurity.com\/2021\/08\/24\/sidewalk-may-be-as-dangerous-as-crosswalk\/\">SparklingGoblin<\/a>. \u0412 \u0434\u0440\u0443\u0433\u043e\u043c \u0441\u043b\u0443\u0447\u0430\u0435 \u043d\u0430 \u043c\u0430\u0448\u0438\u043d\u0435, \u0432\u0437\u043b\u043e\u043c\u0430\u043d\u043d\u043e\u0439 FamousSparrow, \u043c\u044b \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0438\u043b\u0438 \u0440\u0430\u0431\u043e\u0442\u0430\u044e\u0449\u0438\u0439 Metasploit \u0441 cdn.kkxx888666[.]com \u0432 \u043a\u0430\u0447\u0435\u0441\u0442\u0432\u0435 C&amp;C \u0441\u0435\u0440\u0432\u0435\u0440\u0430. \u042d\u0442\u043e\u0442 \u0434\u043e\u043c\u0435\u043d \u043e\u0442\u043d\u043e\u0441\u0438\u0442\u0441\u044f \u043a \u0433\u0440\u0443\u043f\u043f\u0435, \u0438\u0437\u0432\u0435\u0441\u0442\u043d\u043e\u0439 \u043a\u0430\u043a <a href=\"https:\/\/documents.trendmicro.com\/assets\/white_papers\/wp-uncovering-DRBcontrol.pdf\">DRDControl<\/a>.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">\u0412\u0438\u043a\u0442\u0438\u043c\u043e\u043b\u043e\u0433\u0438\u044f<\/h2>\n\n\n\n<p>\u0413\u0440\u0443\u043f\u043f\u0430 \u0430\u043a\u0442\u0438\u0432\u043d\u0430 \u043a\u0430\u043a \u043c\u0438\u043d\u0438\u043c\u0443\u043c \u0441 \u0430\u0432\u0433\u0443\u0441\u0442\u0430 2019 \u0433\u043e\u0434\u0430 \u0438 \u0432 \u043e\u0441\u043d\u043e\u0432\u043d\u043e\u043c \u043e\u0440\u0438\u0435\u043d\u0442\u0438\u0440\u043e\u0432\u0430\u043d\u0430 \u043d\u0430 \u043e\u0442\u0435\u043b\u0438 \u043f\u043e \u0432\u0441\u0435\u043c\u0443 \u043c\u0438\u0440\u0443. \u041a\u0440\u043e\u043c\u0435 \u0442\u043e\u0433\u043e, \u043c\u044b \u0432\u044b\u044f\u0432\u0438\u043b\u0438 \u043d\u0435\u0441\u043a\u043e\u043b\u044c\u043a\u043e \u0446\u0435\u043b\u0435\u0439 \u0432 \u0434\u0440\u0443\u0433\u0438\u0445 \u0441\u0435\u043a\u0442\u043e\u0440\u0430\u0445, \u0442\u0430\u043a\u0438\u0445 \u043a\u0430\u043a \u043f\u0440\u0430\u0432\u0438\u0442\u0435\u043b\u044c\u0441\u0442\u0432\u0430, \u043c\u0435\u0436\u0434\u0443\u043d\u0430\u0440\u043e\u0434\u043d\u044b\u0435 \u043e\u0440\u0433\u0430\u043d\u0438\u0437\u0430\u0446\u0438\u0438, \u0438\u043d\u0436\u0438\u043d\u0438\u0440\u0438\u043d\u0433\u043e\u0432\u044b\u0435 \u043a\u043e\u043c\u043f\u0430\u043d\u0438\u0438 \u0438 \u044e\u0440\u0438\u0434\u0438\u0447\u0435\u0441\u043a\u0438\u0435 \u0444\u0438\u0440\u043c\u044b \u0442\u0430\u043a\u0438\u0445 \u0441\u0442\u0440\u0430\u043d, \u043a\u0430\u043a:<\/p>\n\n\n\n<ul class=\"wp-block-list\"><li>\u0411\u0440\u0430\u0437\u0438\u043b\u0438\u044f<\/li><li>\u0411\u0443\u0440\u043a\u0438\u043d\u0430-\u0424\u0430\u0441\u043e<\/li><li>\u042e\u0436\u043d\u0430\u044f \u0410\u0444\u0440\u0438\u043a\u0430<\/li><li>\u041a\u0430\u043d\u0430\u0434\u0430<\/li><li>\u0418\u0437\u0440\u0430\u0438\u043b\u044c<\/li><li>\u0424\u0440\u0430\u043d\u0446\u0438\u044f<\/li><li>\u0413\u0432\u0430\u0442\u0435\u043c\u0430\u043b\u0430<\/li><li>\u041b\u0438\u0442\u0432\u0430<\/li><li>\u0421\u0430\u0443\u0434\u043e\u0432\u0441\u043a\u0430\u044f \u0410\u0440\u0430\u0432\u0438\u044f<\/li><li>\u0422\u0430\u0439\u0432\u0430\u043d\u044c<\/li><li>\u0422\u0430\u0438\u043b\u0430\u043d\u0434<\/li><li>\u0412\u0435\u043b\u0438\u043a\u043e\u0431\u0440\u0438\u0442\u0430\u043d\u0438\u044f<\/li><\/ul>\n\n\n\n<p><a  href=\"https:\/\/www.welivesecurity.com\/wp-content\/uploads\/2021\/09\/Figure-1.-Geographic-distribution-of-FamousSparrow-targets.png\" data-rel=\"lightbox-gallery-0\" data-rl_title=\"\" data-rl_caption=\"\" data-magnific_type=\"gallery\" title=\"\"><\/a><\/p>\n\n\n\n<figure class=\"wp-block-image size-full\"><img loading=\"lazy\" decoding=\"async\" width=\"768\" height=\"591\" src=\"https:\/\/blog.eset.ee\/wp-content\/uploads\/2021\/10\/Figure-1.-Geographic-distribution-of-FamousSparrow-targets-768x591-1.png\" alt=\"\" class=\"wp-image-5888\" srcset=\"https:\/\/blog.eset.ee\/wp-content\/uploads\/2021\/10\/Figure-1.-Geographic-distribution-of-FamousSparrow-targets-768x591-1.png 768w, https:\/\/blog.eset.ee\/wp-content\/uploads\/2021\/10\/Figure-1.-Geographic-distribution-of-FamousSparrow-targets-768x591-1-166x128.png 166w\" sizes=\"auto, (max-width: 768px) 100vw, 768px\" \/><\/figure>\n\n\n\n<p><em>\u0420\u0438\u0441. 1. \u0413\u0435\u043e\u0433\u0440\u0430\u0444\u0438\u0447\u0435\u0441\u043a\u043e\u0435 \u0440\u0430\u0441\u043f\u0440\u0435\u0434\u0435\u043b\u0435\u043d\u0438\u0435 \u0446\u0435\u043b\u0435\u0439 FamousSparrow<\/em><\/p>\n\n\n\n<h2 class=\"wp-block-heading\">\u0412\u0435\u043a\u0442\u043e\u0440 \u0443\u0433\u0440\u043e\u0437<\/h2>\n\n\n\n<p>\u0412 \u043d\u0435\u043a\u043e\u0442\u043e\u0440\u044b\u0445 \u0441\u043b\u0443\u0447\u0430\u044f\u0445 \u043d\u0430\u043c \u0443\u0434\u0430\u043b\u043e\u0441\u044c \u043d\u0430\u0439\u0442\u0438 \u0438\u0441\u0445\u043e\u0434\u043d\u044b\u0439 \u0432\u0435\u043a\u0442\u043e\u0440 \u043a\u043e\u043c\u043f\u0440\u043e\u043c\u0435\u0442\u0430\u0446\u0438\u0438, \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u043c\u044b\u0439 FamousSparrow, \u0438 \u044d\u0442\u0438 \u0441\u0438\u0441\u0442\u0435\u043c\u044b \u0441\u0442\u0430\u043b\u0438 \u0434\u043e\u0441\u0442\u0443\u043f\u043d\u044b \u0447\u0435\u0440\u0435\u0437 \u0443\u044f\u0437\u0432\u0438\u043c\u044b\u0435 \u0432\u0435\u0431-\u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u044f, \u043f\u043e\u0434\u043a\u043b\u044e\u0447\u0435\u043d\u043d\u044b\u0435 \u043a \u0438\u043d\u0442\u0435\u0440\u043d\u0435\u0442\u0443. \u041c\u044b \u043f\u043e\u043b\u0430\u0433\u0430\u0435\u043c, \u0447\u0442\u043e FamousSparrow \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043b \u0437\u043d\u0430\u043a\u043e\u043c\u044b\u0435 \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u0438 \u0443\u0434\u0430\u043b\u0435\u043d\u043d\u043e\u0433\u043e \u0432\u044b\u043f\u043e\u043b\u043d\u0435\u043d\u0438\u044f \u043a\u043e\u0434\u0430 \u0432 Microsoft Exchange (\u0432\u043a\u043b\u044e\u0447\u0430\u044f ProxyLogon \u0432 \u043c\u0430\u0440\u0442\u0435 2021 \u0433\u043e\u0434\u0430), Microsoft SharePoint \u0438 Oracle Opera (\u0431\u0438\u0437\u043d\u0435\u0441-\u043f\u0440\u043e\u0433\u0440\u0430\u043c\u043c\u043d\u043e\u0435 \u043e\u0431\u0435\u0441\u043f\u0435\u0447\u0435\u043d\u0438\u0435 \u0434\u043b\u044f \u0443\u043f\u0440\u0430\u0432\u043b\u0435\u043d\u0438\u044f \u043e\u0442\u0435\u043b\u044f\u043c\u0438), \u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043b\u0438\u0441\u044c \u0434\u043b\u044f \u0441\u043a\u0438\u0434\u044b\u0432\u0430\u043d\u0438\u044f \u0440\u0430\u0437\u043b\u0438\u0447\u043d\u044b\u0445 \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u044b\u0445 \u043e\u0431\u0440\u0430\u0437\u0446\u043e\u0432.<\/p>\n\n\n\n<p>\u041f\u043e\u0441\u043b\u0435 \u0432\u0437\u043b\u043e\u043c\u0430 \u0441\u0435\u0440\u0432\u0435\u0440\u0430 \u0437\u043b\u043e\u0443\u043c\u044b\u0448\u043b\u0435\u043d\u043d\u0438\u043a\u0438 \u0440\u0430\u0437\u0432\u0435\u0440\u0442\u044b\u0432\u0430\u044e\u0442 \u043d\u0435\u0441\u043a\u043e\u043b\u044c\u043a\u043e \u043d\u0430\u0441\u0442\u0440\u0430\u0438\u0432\u0430\u0435\u043c\u044b\u0445 \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u043e\u0432:<\/p>\n\n\n\n<ul class=\"wp-block-list\"><li>A Mimikatz variant<\/li><\/ul>\n\n\n\n<ul class=\"wp-block-list\"><li>\u0412\u0430\u0440\u0438\u0430\u043d\u0442 Mimikatz<\/li><li>\u041d\u0435\u0431\u043e\u043b\u044c\u0448\u0430\u044f \u0443\u0442\u0438\u043b\u0438\u0442\u0430, \u043a\u043e\u0442\u043e\u0440\u0430\u044f \u0441\u043a\u0438\u0434\u044b\u0432\u0430\u0435\u0442 <a href=\"https:\/\/docs.microsoft.com\/en-us\/sysinternals\/downloads\/procdump\">ProcDump<\/a> \u043d\u0430 \u0434\u0438\u0441\u043a \u0438 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442 \u0435\u0433\u043e \u0434\u043b\u044f \u0434\u0430\u043c\u043f\u0430 \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u0430 lsass, \u0432\u0435\u0440\u043e\u044f\u0442\u043d\u043e, \u0434\u043b\u044f \u0441\u0431\u043e\u0440\u0430 \u0441\u0435\u043a\u0440\u0435\u0442\u043d\u044b\u0445 \u0441\u0432\u0435\u0434\u0435\u043d\u0438\u0439 \u043d\u0430 \u043f\u0430\u043c\u044f\u0442\u0438, \u0442\u0430\u043a\u0438\u0445 \u043a\u0430\u043a \u0443\u0447\u0435\u0442\u043d\u044b\u0435 \u0434\u0430\u043d\u043d\u044b\u0435<\/li><li><a href=\"http:\/\/www.unixwiz.net\/tools\/nbtscan.html\">Nbtscan<\/a>, \u0441\u043a\u0430\u043d\u0435\u0440 NetBIOS<\/li><li>\u0417\u0430\u0433\u0440\u0443\u0437\u0447\u0438\u043a \u0434\u043b\u044f \u0431\u044d\u043a\u0434\u043e\u0440\u0430 SparrowDoor<\/li><\/ul>\n\n\n\n<p>\u0421 \u043f\u043e\u043c\u043e\u0449\u044c\u044e \u043d\u0430\u0448\u0435\u0439 \u0442\u0435\u043b\u0435\u043c\u0435\u0442\u0440\u0438\u0438 \u043c\u044b \u0441\u043c\u043e\u0433\u043b\u0438 \u0432\u043e\u0441\u0441\u0442\u0430\u043d\u043e\u0432\u0438\u0442\u044c \u0442\u043e\u043b\u044c\u043a\u043e \u043a\u043e\u043c\u043f\u043e\u043d\u0435\u043d\u0442 \u0437\u0430\u0433\u0440\u0443\u0437\u0447\u0438\u043a\u0430 (SHA-1: E2B0851E2E281CC7BCA3D6D9B2FA0C4B7AC5A02B). \u041c\u044b \u0442\u0430\u043a\u0436\u0435 \u043d\u0430\u0448\u043b\u0438 \u043e\u0447\u0435\u043d\u044c \u043f\u043e\u0445\u043e\u0436\u0438\u0439 \u0437\u0430\u0433\u0440\u0443\u0437\u0447\u0438\u043a \u043d\u0430 VirusTotal (SHA-1: BB2F5B573AC7A761015DAAD0B7FF03B294DC60F6), \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u043f\u043e\u0437\u0432\u043e\u043b\u0438\u043b \u043d\u0430\u043c \u043d\u0430\u0439\u0442\u0438 \u043d\u0435\u0434\u043e\u0441\u0442\u0430\u044e\u0449\u0438\u0435 \u043a\u043e\u043c\u043f\u043e\u043d\u0435\u043d\u0442\u044b, \u0432\u043a\u043b\u044e\u0447\u0430\u044f SparrowDoor.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">SparrowDoor<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\">\u0417\u0430\u0433\u0440\u0443\u0437\u0447\u0438\u043a<\/h3>\n\n\n\n<p>\u041f\u0435\u0440\u0432\u043e\u043d\u0430\u0447\u0430\u043b\u044c\u043d\u043e SparrowDoor \u0437\u0430\u0433\u0440\u0443\u0436\u0430\u0435\u0442\u0441\u044f \u043f\u043e\u0441\u0440\u0435\u0434\u0441\u0442\u0432\u043e\u043c \u043f\u0435\u0440\u0435\u0445\u0432\u0430\u0442\u0430 \u043f\u043e\u0440\u044f\u0434\u043a\u0430 \u043f\u043e\u0438\u0441\u043a\u0430 DLL \u0441 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u0438\u0435\u043c \u0442\u0440\u0435\u0445 \u044d\u043b\u0435\u043c\u0435\u043d\u0442\u043e\u0432 &#8212; \u043b\u0435\u0433\u0438\u0442\u0438\u043c\u043d\u043e\u0433\u043e \u0438\u0441\u043f\u043e\u043b\u043d\u044f\u0435\u043c\u043e\u0433\u043e \u0444\u0430\u0439\u043b\u0430 K7 Computing (Indexer.exe), \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u043c\u043e\u0433\u043e \u0432 \u043a\u0430\u0447\u0435\u0441\u0442\u0432\u0435 \u0445\u043e\u0441\u0442\u0430 \u0434\u043b\u044f \u043f\u0435\u0440\u0435\u0445\u0432\u0430\u0442\u0430 DLL, \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u043e\u0439 DLL (K7UI.dll) \u0438 \u0437\u0430\u0448\u0438\u0444\u0440\u043e\u0432\u0430\u043d\u043d\u043e\u0433\u043e \u0448\u0435\u043b\u043b-\u043a\u043e\u0434\u0430 (MpSvc.dll) &#8212; \u0432\u0441\u0435 \u0438\u0437 \u043d\u0438\u0445 \u0441\u0431\u0440\u043e\u0448\u0435\u043d\u044b \u0432 %PROGRAMDATA%\\Software\\. \u041c\u043e\u0436\u043d\u043e \u043f\u0440\u0435\u0434\u043f\u043e\u043b\u043e\u0436\u0438\u0442\u044c, \u0447\u0442\u043e \u0430\u0440\u0433\u0443\u043c\u0435\u043d\u0442 \u043a\u043e\u043c\u0430\u043d\u0434\u043d\u043e\u0439 \u0441\u0442\u0440\u043e\u043a\u0438, \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u043d\u044b\u0439 \u043f\u0440\u0438 \u043f\u0435\u0440\u0432\u043e\u043d\u0430\u0447\u0430\u043b\u044c\u043d\u043e\u043c \u0432\u044b\u043f\u043e\u043b\u043d\u0435\u043d\u0438\u0438 SparrowDoor \u0434\u043b\u044f \u043d\u0430\u0441\u0442\u0440\u043e\u0439\u043a\u0438 \u043f\u043e\u0441\u0442\u043e\u044f\u043d\u0441\u0442\u0432\u0430, \u044f\u0432\u043b\u044f\u0435\u0442\u0441\u044f \u043b\u0438\u0431\u043e \u043d\u0438\u0447\u0435\u043c, \u043b\u0438\u0431\u043e \u0447\u0435\u043c-\u0442\u043e \u043a\u0440\u043e\u043c\u0435 -i, -k \u0438\u043b\u0438 -d (\u0444\u0443\u043d\u043a\u0446\u0438\u0438 \u044d\u0442\u0438\u0445 \u0442\u0440\u0435\u0445 \u0430\u0440\u0433\u0443\u043c\u0435\u043d\u0442\u043e\u0432 \u0431\u0443\u0434\u0443\u0442 \u043e\u0431\u044a\u044f\u0441\u043d\u0435\u043d\u044b \u043d\u0438\u0436\u0435). \u041a\u0430\u043a \u0442\u043e\u043b\u044c\u043a\u043e \u043f\u043e\u0441\u0442\u043e\u044f\u043d\u0441\u0442\u0432\u043e \u043d\u0430\u0441\u0442\u0440\u043e\u0435\u043d\u043e, SparrowDoor \u0437\u0430\u043f\u0443\u0441\u043a\u0430\u0435\u0442\u0441\u044f \u0441 \u0430\u0440\u0433\u0443\u043c\u0435\u043d\u0442\u043e\u043c \u043a\u043e\u043c\u0430\u043d\u0434\u043d\u043e\u0439 \u0441\u0442\u0440\u043e\u043a\u0438 -i. \u041e\u0437\u043d\u0430\u043a\u043e\u043c\u044c\u0442\u0435\u0441\u044c \u0441 \u0420\u0438\u0441\u0443\u043d\u043a\u043e\u043c 2 \u0434\u043b\u044f \u043a\u0440\u0430\u0442\u043a\u043e\u0433\u043e \u043e\u0431\u0437\u043e\u0440\u0430 \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u0430 \u043d\u0430\u0447\u0430\u043b\u044c\u043d\u043e\u0439 \u0437\u0430\u0433\u0440\u0443\u0437\u043a\u0438. \u041f\u0440\u043e\u0434\u043e\u043b\u0436\u0430\u0439\u0442\u0435 \u0447\u0438\u0442\u0430\u0442\u044c, \u0435\u0441\u043b\u0438 \u0432\u044b \u0436\u0435\u043b\u0430\u0435\u0442\u0435 \u043f\u043e\u0434\u0440\u043e\u0431\u043d\u043e \u0438\u0437\u0443\u0447\u0438\u0442\u044c \u0434\u0430\u043d\u043d\u044b\u0439 \u043f\u0440\u043e\u0446\u0435\u0441\u0441!<a  href=\"https:\/\/www.welivesecurity.com\/wp-content\/uploads\/2021\/09\/Figure-2.-SparrowDoor-staging.png\" data-rel=\"lightbox-gallery-0\" data-rl_title=\"\" data-rl_caption=\"\" data-magnific_type=\"gallery\" title=\"\"><\/a><\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"595\" height=\"1024\" src=\"https:\/\/blog.eset.ee\/wp-content\/uploads\/2021\/10\/Figure-2.-SparrowDoor-staging-768x1321-1-595x1024.png\" alt=\"\" class=\"wp-image-5891\" srcset=\"https:\/\/blog.eset.ee\/wp-content\/uploads\/2021\/10\/Figure-2.-SparrowDoor-staging-768x1321-1-595x1024.png 595w, https:\/\/blog.eset.ee\/wp-content\/uploads\/2021\/10\/Figure-2.-SparrowDoor-staging-768x1321-1-74x128.png 74w, https:\/\/blog.eset.ee\/wp-content\/uploads\/2021\/10\/Figure-2.-SparrowDoor-staging-768x1321-1.png 768w\" sizes=\"auto, (max-width: 595px) 100vw, 595px\" \/><\/figure>\n\n\n\n<p><em><a>\u0420\u0438\u0441\u0443\u043d\u043e\u043a <\/a>2. \u0420\u0430\u0437\u0432\u0435\u0440\u0442\u043a\u0430 SparrowDoor<\/em><\/p>\n\n\n\n<p>\u041d\u0430\u0441\u0442\u043e\u044f\u0449\u0438\u0439 \u0438\u0441\u043f\u043e\u043b\u043d\u044f\u0435\u043c\u044b\u0439 \u0444\u0430\u0439\u043b Indexer.exe \u0442\u0440\u0435\u0431\u0443\u0435\u0442 \u0434\u043b\u044f \u0440\u0430\u0431\u043e\u0442\u044b \u0431\u0438\u0431\u043b\u0438\u043e\u0442\u0435\u043a\u0443 K7UI.dll. \u041f\u043e\u044d\u0442\u043e\u043c\u0443 \u041e\u0421 \u0438\u0449\u0435\u0442 \u0444\u0430\u0439\u043b DLL \u0432 \u043a\u0430\u0442\u0430\u043b\u043e\u0433\u0430\u0445 \u0432 \u0437\u0430\u0434\u0430\u043d\u043d\u043e\u043c \u043f\u043e\u0440\u044f\u0434\u043a\u0435 \u0437\u0430\u0433\u0440\u0443\u0437\u043a\u0438. \u041f\u043e\u0441\u043a\u043e\u043b\u044c\u043a\u0443 \u043a\u0430\u0442\u0430\u043b\u043e\u0433, \u0432 \u043a\u043e\u0442\u043e\u0440\u043e\u043c \u0445\u0440\u0430\u043d\u0438\u0442\u0441\u044f \u0444\u0430\u0439\u043b Indexer.exe, \u0438\u043c\u0435\u0435\u0442 \u043d\u0430\u0438\u0432\u044b\u0441\u0448\u0438\u0439 \u043f\u0440\u0438\u043e\u0440\u0438\u0442\u0435\u0442 \u0432 \u043f\u043e\u0440\u044f\u0434\u043a\u0435 \u0437\u0430\u0433\u0440\u0443\u0437\u043a\u0438, \u043e\u043d \u043c\u043e\u0436\u0435\u0442 \u0431\u044b\u0442\u044c \u043f\u0435\u0440\u0435\u0445\u0432\u0430\u0447\u0435\u043d \u043f\u043e\u0440\u044f\u0434\u043a\u043e\u043c \u043f\u043e\u0438\u0441\u043a\u0430 DLL. \u0418\u043c\u0435\u043d\u043d\u043e \u0442\u0430\u043a \u0438 \u0437\u0430\u0433\u0440\u0443\u0436\u0430\u0435\u0442\u0441\u044f \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u043e\u0435 \u041f\u041e. Indexer.exe \u0437\u0430\u0433\u0440\u0443\u0436\u0430\u0435\u0442 \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u044b\u0439 K7UI.dll, \u043a\u043e\u0442\u043e\u0440\u044b\u0439, \u0432 \u0441\u0432\u043e\u044e \u043e\u0447\u0435\u0440\u0435\u0434\u044c, \u043f\u0430\u0442\u0447\u0438\u0442 \u043a\u043e\u0434 \u0432 Indexer.exe (\u0441 call WinMain \u043d\u0430 jmp K7UI.0x100010D0), \u0430 \u0437\u0430\u0442\u0435\u043c \u0432\u043e\u0437\u0432\u0440\u0430\u0449\u0430\u0435\u0442\u0441\u044f \u0432 Indexer.exe. \u0412 \u0440\u0435\u0437\u0443\u043b\u044c\u0442\u0430\u0442\u0435 Indexer.exe \u0437\u0430\u0432\u0435\u0440\u0448\u0430\u0435\u0442 \u0432\u044b\u043f\u043e\u043b\u043d\u0435\u043d\u0438\u0435 \u043f\u043e\u0434\u043f\u0440\u043e\u0433\u0440\u0430\u043c\u043c\u044b \u0432 K7UI.dll (\u0440\u0430\u0441\u043f\u043e\u043b\u043e\u0436\u0435\u043d\u043d\u043e\u0439 \u0432 \u0440\u0430\u0437\u0434\u0435\u043b\u0435 .text) \u0432\u043c\u0435\u0441\u0442\u043e \u0432\u044b\u0437\u043e\u0432\u0430 WinMain. \u041c\u044b \u0431\u0443\u0434\u0435\u043c \u043d\u0430\u0437\u044b\u0432\u0430\u0442\u044c \u044d\u0442\u0443 \u043f\u043e\u0434\u043f\u0440\u043e\u0433\u0440\u0430\u043c\u043c\u0443 <strong>\u0441\u0440\u0435\u0434\u0441\u0442\u0432\u043e\u043c \u0437\u0430\u043f\u0443\u0441\u043a\u0430<\/strong>. \u0424\u0443\u043d\u043a\u0446\u0438\u043e\u043d\u0430\u043b <strong>\u0441\u0440\u0435\u0434\u0441\u0442\u0432\u0430 \u0437\u0430\u043f\u0443\u0441\u043a\u0430<\/strong> \u0437\u0430\u043a\u043b\u044e\u0447\u0430\u0435\u0442\u0441\u044f \u0432 \u0437\u0430\u0433\u0440\u0443\u0437\u043a\u0435 MpSvc.dll (\u0437\u0430\u0448\u0438\u0444\u0440\u043e\u0432\u0430\u043d\u043d\u044b\u0439 \u0448\u0435\u043b\u043b-\u043a\u043e\u0434) \u0432 \u043f\u0430\u043c\u044f\u0442\u044c \u0438\u0437 \u043a\u0430\u0442\u0430\u043b\u043e\u0433\u0430, \u0432 \u043a\u043e\u0442\u043e\u0440\u043e\u043c \u0442\u0430\u043a\u0436\u0435 \u0445\u0440\u0430\u043d\u0438\u0442\u0441\u044f Indexer.exe, \u0440\u0430\u0441\u0448\u0438\u0444\u0440\u043e\u0432\u0430\u0442\u044c \u0441\u043e\u0434\u0435\u0440\u0436\u0438\u043c\u043e\u0435 \u0438 \u0437\u0430\u0442\u0435\u043c \u0432\u044b\u043f\u043e\u043b\u043d\u0438\u0442\u044c \u0448\u0435\u043b\u043b-\u043a\u043e\u0434.<\/p>\n\n\n\n<p>\u0428\u0435\u043b\u043b-\u043a\u043e\u0434 (MpSvc.dll) \u0437\u0430\u0448\u0438\u0444\u0440\u043e\u0432\u0430\u043d \u0441 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u0438\u0435\u043c \u0447\u0435\u0442\u044b\u0440\u0435\u0445\u0431\u0430\u0439\u0442\u043e\u0432\u043e\u0439 \u043e\u043f\u0435\u0440\u0430\u0446\u0438\u0438 XOR \u0441 \u043a\u043b\u044e\u0447\u043e\u043c, \u044f\u0432\u043b\u044f\u044e\u0449\u0438\u043c\u0441\u044f \u043f\u0435\u0440\u0432\u044b\u043c\u0438 \u0447\u0435\u0442\u044b\u0440\u044c\u043c\u044f \u0431\u0430\u0439\u0442\u0430\u043c\u0438 \u0444\u0430\u0439\u043b\u0430.<\/p>\n\n\n\n<p>\u0428\u0435\u043b\u043b-\u043a\u043e\u0434 MpSvc.dll \u0437\u0430\u0433\u0440\u0443\u0436\u0430\u0435\u0442 \u0440\u0430\u0437\u043b\u0438\u0447\u043d\u044b\u0435 \u0431\u0438\u0431\u043b\u0438\u043e\u0442\u0435\u043a\u0438, \u043e\u0442\u0432\u0435\u0447\u0430\u044e\u0449\u0438\u0435 \u0437\u0430 \u043f\u043e\u0441\u0442\u0440\u043e\u0435\u043d\u0438\u0435 \u0441\u0442\u0440\u0443\u043a\u0442\u0443\u0440\u044b PE, \u0438 \u043e\u043f\u0440\u0435\u0434\u0435\u043b\u044f\u0435\u0442 \u0430\u0434\u0440\u0435\u0441\u0430 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u043c\u044b\u0445 \u0444\u0443\u043d\u043a\u0446\u0438\u0439. \u041f\u043e\u0441\u043b\u0435 \u044d\u0442\u043e\u0433\u043e \u043e\u043d \u0432\u044b\u0434\u0435\u043b\u044f\u0435\u0442 RWX-\u043f\u0430\u043c\u044f\u0442\u044c \u0438 \u043a\u043e\u043f\u0438\u0440\u0443\u0435\u0442 \u0432 \u043d\u0435\u0435 \u0440\u0430\u0437\u043b\u0438\u0447\u043d\u044b\u0435 \u043c\u0435\u0441\u0442\u0430 \u0448\u0435\u043b\u043b-\u043a\u043e\u0434\u0430 (\u0434\u043b\u044f \u043f\u043e\u0441\u0442\u0440\u043e\u0435\u043d\u0438\u044f PE-\u0441\u0442\u0440\u0443\u043a\u0442\u0443\u0440\u044b). \u041e\u043d \u0442\u0430\u043a\u0436\u0435 \u0440\u0435\u0448\u0430\u0435\u0442 \u0438\u043c\u043f\u043e\u0440\u0442 \u043d\u0435\u0441\u043a\u043e\u043b\u044c\u043a\u0438\u0445 \u0444\u0443\u043d\u043a\u0446\u0438\u0439 \u0438\u0437 \u0440\u0430\u0437\u043d\u044b\u0445 \u0431\u0438\u0431\u043b\u0438\u043e\u0442\u0435\u043a. \u0418 \u043d\u0430\u043a\u043e\u043d\u0435\u0446, \u043e\u043d \u0437\u0430\u043f\u0443\u0441\u043a\u0430\u0435\u0442 \u0438\u0437 \u0442\u043e\u0447\u043a\u0438 \u0432\u0445\u043e\u0434\u0430 \u0441\u043e\u0437\u0434\u0430\u043d\u043d\u044b\u0439 \u0431\u044d\u043a\u0434\u043e\u0440 PE. \u041f\u0440\u0438\u043c\u0435\u0447\u0430\u0442\u0435\u043b\u044c\u043d\u043e, \u0447\u0442\u043e \u0434\u0430\u043d\u043d\u044b\u0439 \u0432\u043e\u0441\u0441\u0442\u0430\u043d\u043e\u0432\u043b\u0435\u043d\u043d\u044b\u0439 \u0438\u0441\u043f\u043e\u043b\u043d\u044f\u0435\u043c\u044b\u0439 \u043e\u0431\u0440\u0430\u0437 \u043d\u0435 \u0438\u043c\u0435\u0435\u0442 \u0437\u0430\u0433\u043e\u043b\u043e\u0432\u043a\u043e\u0432 PE, \u0447\u0442\u043e \u043f\u043e\u043a\u0430\u0437\u0430\u043d\u043e \u043d\u0430 \u0420\u0438\u0441\u0443\u043d\u043a\u0435 2, \u043f\u043e\u044d\u0442\u043e\u043c\u0443 \u0437\u0430\u0433\u0440\u0443\u0437\u0447\u0438\u043a \u0432\u044b\u043f\u043e\u043b\u043d\u044f\u0435\u0442 \u0431\u044d\u043a\u0434\u043e\u0440, \u043f\u0435\u0440\u0435\u0441\u043a\u0430\u043a\u0438\u0432\u0430\u044f \u043a \u0442\u043e\u0447\u043a\u0435 \u0432\u0445\u043e\u0434\u0430 \u0441 \u0436\u0435\u0441\u0442\u043a\u043e \u0437\u0430\u0434\u0430\u043d\u043d\u044b\u043c \u0441\u043c\u0435\u0449\u0435\u043d\u0438\u0435\u043c \u0432 \u0432\u044b\u0434\u0435\u043b\u0435\u043d\u043d\u043e\u0439 \u043f\u0430\u043c\u044f\u0442\u0438.<a  href=\"https:\/\/www.welivesecurity.com\/wp-content\/uploads\/2021\/09\/Figure-3.-The-PE-header-is-missing-in-the-newly-built-backdoor-from-the-MpSvc.dll-shellcode.png\" data-rel=\"lightbox-gallery-0\" data-rl_title=\"\" data-rl_caption=\"\" data-magnific_type=\"gallery\" title=\"\"><\/a><\/p>\n\n\n\n<figure class=\"wp-block-image size-full\"><img loading=\"lazy\" decoding=\"async\" width=\"696\" height=\"959\" src=\"https:\/\/blog.eset.ee\/wp-content\/uploads\/2021\/10\/Figure-3.-The-PE-header-is-missing-in-the-newly-built-backdoor-from-the-MpSvc.dll-shellcode.png\" alt=\"\" class=\"wp-image-5894\" srcset=\"https:\/\/blog.eset.ee\/wp-content\/uploads\/2021\/10\/Figure-3.-The-PE-header-is-missing-in-the-newly-built-backdoor-from-the-MpSvc.dll-shellcode.png 696w, https:\/\/blog.eset.ee\/wp-content\/uploads\/2021\/10\/Figure-3.-The-PE-header-is-missing-in-the-newly-built-backdoor-from-the-MpSvc.dll-shellcode-93x128.png 93w\" sizes=\"auto, (max-width: 696px) 100vw, 696px\" \/><\/figure>\n\n\n\n<p><em>\u0420\u0438\u0441\u0443\u043d\u043e\u043a 3. \u0417\u0430\u0433\u043e\u043b\u043e\u0432\u043e\u043a PE \u043e\u0442\u0441\u0443\u0442\u0441\u0442\u0432\u0443\u0435\u0442 \u0432\u043e \u0432\u043d\u043e\u0432\u044c \u0441\u043e\u0437\u0434\u0430\u043d\u043d\u043e\u043c \u0431\u044d\u043a\u0434\u043e\u0440\u0435 \u0438\u0437 \u0448\u0435\u043b\u043b-\u043a\u043e\u0434\u0430 MpSvc.dll.<\/em><\/p>\n\n\n\n<h3 class=\"wp-block-heading\">\u0411\u044d\u043a\u0434\u043e\u0440<\/h3>\n\n\n\n<p>\u0410\u0440\u0433\u0443\u043c\u0435\u043d\u0442\u044b, \u043f\u0435\u0440\u0435\u0434\u0430\u0432\u0430\u0435\u043c\u044b\u0435 \u0432 \u0431\u044d\u043a\u0434\u043e\u0440, \u043d\u0430\u0441\u043b\u0435\u0434\u0443\u044e\u0442\u0441\u044f \u043e\u0442 \u0430\u0440\u0433\u0443\u043c\u0435\u043d\u0442\u043e\u0432, \u043f\u0435\u0440\u0435\u0434\u0430\u043d\u043d\u044b\u0445 \u0432 Indexer.exe \u0438\u043b\u0438 \u0432 \u043b\u044e\u0431\u043e\u0439 \u0434\u0440\u0443\u0433\u043e\u0439 \u0434\u0432\u043e\u0438\u0447\u043d\u044b\u0439 \u0444\u0430\u0439\u043b, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u043f\u043e\u043b\u0443\u0447\u0430\u0435\u0442 \u0432\u0432\u0435\u0434\u0435\u043d\u043d\u044b\u0439 \u0448\u0435\u043b\u043b-\u043a\u043e\u0434\/\u0431\u044d\u043a\u0434\u043e\u0440. \u0417\u0430\u0434\u0430\u0447\u0438, \u0432\u044b\u043f\u043e\u043b\u043d\u044f\u0435\u043c\u044b\u0435 \u0431\u044d\u043a\u0434\u043e\u0440\u043e\u043c \u043f\u043e\u0441\u043b\u0435 \u0443\u043a\u0430\u0437\u0430\u043d\u0438\u044f \u0430\u0440\u0433\u0443\u043c\u0435\u043d\u0442\u0430, \u043e\u0442\u0440\u0430\u0436\u0435\u043d\u044b \u0432 \u0422\u0430\u0431\u043b\u0438\u0446\u0435 1.<\/p>\n\n\n\n<p><em>\u0422\u0430\u0431\u043b\u0438\u0446\u0430 1. \u0414\u0435\u0439\u0441\u0442\u0432\u0438\u044f, \u0432\u044b\u043f\u043e\u043b\u043d\u044f\u0435\u043c\u044b\u0435 \u043d\u0430 \u043e\u0441\u043d\u043e\u0432\u0435 \u0430\u0440\u0433\u0443\u043c\u0435\u043d\u0442\u043e\u0432 \u043a\u043e\u043c\u0430\u043d\u0434\u043d\u043e\u0439 \u0441\u0442\u0440\u043e\u043a\u0438, \u043f\u0440\u0435\u0434\u043e\u0441\u0442\u0430\u0432\u043b\u0435\u043d\u043d\u044b\u0445 SparrowDoor<\/em><\/p>\n\n\n\n<figure id=\"tablepress-1000\" class=\"wp-block-table\"><table><thead><tr><th>Argument<\/th><th>Action<\/th><\/tr><\/thead><tbody><tr><td>\u041d\u0435\u0442 \u0430\u0440\u0433\u0443\u043c\u0435\u043d\u0442\u0430 \u0438\u043b\u0438 \u043e\u043d \u043d\u0435 \u0441\u043e\u043e\u0442\u0432\u0435\u0442\u0441\u0442\u0432\u0443\u0435\u0442 \u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0435\u043c\u0443<\/td><td>\u041f\u043e\u0441\u0442\u043e\u044f\u043d\u0441\u0442\u0432\u043e \u0443\u0441\u0442\u0430\u043d\u0430\u0432\u043b\u0438\u0432\u0430\u0435\u0442\u0441\u044f \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e \u043a\u043b\u044e\u0447\u0430 \u0437\u0430\u043f\u0443\u0441\u043a\u0430 \u0440\u0435\u0435\u0441\u0442\u0440\u0430 \u0438 \u0441\u043b\u0443\u0436\u0431\u044b, \u043a\u043e\u0442\u043e\u0440\u0430\u044f \u0441\u043e\u0437\u0434\u0430\u0435\u0442\u0441\u044f \u0438 \u0437\u0430\u043f\u0443\u0441\u043a\u0430\u0435\u0442\u0441\u044f \u0441 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u0438\u0435\u043c \u0434\u0430\u043d\u043d\u044b\u0445 \u043a\u043e\u043d\u0444\u0438\u0433\u0443\u0440\u0430\u0446\u0438\u0438 (\u043e\u043f\u0438\u0441\u0430\u043d\u043d\u044b\u0445 \u0432 \u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0435\u043c \u0440\u0430\u0437\u0434\u0435\u043b\u0435), \u0436\u0435\u0441\u0442\u043a\u043e \u0437\u0430\u043a\u043e\u0434\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u044b\u0445 \u0432 \u0434\u0432\u043e\u0438\u0447\u043d\u043e\u043c \u0444\u0430\u0439\u043b\u0435. \u041d\u0430\u043a\u043e\u043d\u0435\u0446, \u0431\u044d\u043a\u0434\u043e\u0440 \u043f\u0435\u0440\u0435\u0437\u0430\u043f\u0443\u0441\u043a\u0430\u0435\u0442\u0441\u044f \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e \u043a\u043b\u044e\u0447\u0430 -i.<\/td><\/tr><tr><td>-i<\/td><td>\u0411\u044d\u043a\u0434\u043e\u0440 \u043f\u0435\u0440\u0435\u0437\u0430\u043f\u0443\u0441\u043a\u0430\u0435\u0442\u0441\u044f \u043a\u043b\u044e\u0447\u043e\u043c -k.<\/td><\/tr><tr><td>-k<\/td><td>\u0418\u043d\u0442\u0435\u0440\u043f\u0440\u0435\u0442\u0430\u0442\u043e\u0440 \u0431\u044d\u043a\u0434\u043e\u0440\u0430 (\u043e\u043f\u0438\u0441\u0430\u043d\u043d\u044b\u0439 \u043d\u0438\u0436\u0435) \u0432\u044b\u0437\u044b\u0432\u0430\u0435\u0442\u0441\u044f \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e \u0430\u0432\u0430\u0440\u0438\u0439\u043d\u043e\u0433\u043e \u0432\u044b\u043a\u043b\u044e\u0447\u0430\u0442\u0435\u043b\u044f.<\/td><\/tr><tr><td>-d<\/td><td>\u0418\u043d\u0442\u0435\u0440\u043f\u0440\u0435\u0442\u0430\u0442\u043e\u0440 \u0431\u044d\u043a\u0434\u043e\u0440\u0430 \u0432\u044b\u0437\u044b\u0432\u0430\u0435\u0442\u0441\u044f \u0431\u0435\u0437 \u0430\u0432\u0430\u0440\u0438\u0439\u043d\u043e\u0433\u043e \u0432\u044b\u043a\u043b\u044e\u0447\u0430\u0442\u0435\u043b\u044f.<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<p><em>\u041f\u0440\u0438\u043c\u0435\u0447\u0430\u043d\u0438\u0435:<\/em><\/p>\n\n\n\n<p>1) \u041f\u0435\u0440\u0435\u043a\u043b\u044e\u0447\u0430\u0442\u0435\u043b\u044c \u0443\u043d\u0438\u0447\u0442\u043e\u0436\u0435\u043d\u0438\u044f \u0434\u0430\u0435\u0442 \u0431\u044d\u043a\u0434\u043e\u0440\u0443 \u043f\u0440\u0430\u0432\u043e \u0443\u0434\u0430\u043b\u0438\u0442\u044c \u0438\u043b\u0438 \u043f\u0435\u0440\u0435\u0437\u0430\u043f\u0443\u0441\u0442\u0438\u0442\u044c SparrowDoor.<\/p>\n\n\n\n<p>2) \u0418\u043d\u0442\u0435\u0440\u043f\u0440\u0435\u0442\u0430\u0442\u043e\u0440 \u0431\u044d\u043a\u0434\u043e\u0440\u0430 \u0432\u044b\u0437\u044b\u0432\u0430\u0435\u0442\u0441\u044f \u043d\u0435\u0437\u0430\u0432\u0438\u0441\u0438\u043c\u043e \u043e\u0442 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u043c\u043e\u0433\u043e \u0430\u0440\u0433\u0443\u043c\u0435\u043d\u0442\u0430, \u0442. \u043a. \u043e\u043d \u0432\u0441\u0435\u0433\u0434\u0430 \u0432 \u043a\u043e\u043d\u0435\u0447\u043d\u043e\u043c \u0438\u0442\u043e\u0433\u0435 \u0431\u0443\u0434\u0435\u0442 \u0438\u043c\u0435\u0442\u044c \u0430\u0440\u0433\u0443\u043c\u0435\u043d\u0442 -k \u0438\u043b\u0438 -d.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\"><strong><em>\u0414\u0430\u043d\u043d\u044b\u0435 \u043a\u043e\u043d\u0444\u0438\u0433\u0443\u0440\u0430\u0446\u0438\u0438<\/em><\/strong><\/h4>\n\n\n\n<p>\u041a\u043e\u043d\u0444\u0438\u0433\u0443\u0440\u0430\u0446\u0438\u044f \u043d\u0430\u0445\u043e\u0434\u0438\u0442\u0441\u044f \u0432 \u0434\u0432\u043e\u0438\u0447\u043d\u043e\u043c \u0444\u0430\u0439\u043b\u0435 \u0438 \u0440\u0430\u0441\u0448\u0438\u0444\u0440\u043e\u0432\u044b\u0432\u0430\u0435\u0442\u0441\u044f \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e \u043c\u043d\u043e\u0433\u043e\u0431\u0430\u0439\u0442\u043e\u0432\u043e\u0433\u043e XOR-\u043a\u043b\u044e\u0447\u0430 ^&amp;32yUgf. \u041a\u043e\u043d\u0444\u0438\u0433\u0443\u0440\u0430\u0446\u0438\u044f \u0438\u043c\u0435\u0435\u0442 \u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0438\u0439 \u0444\u043e\u0440\u043c\u0430\u0442:<\/p>\n\n\n\n<figure class=\"wp-block-table\"><table><tbody><tr><td>1234567891011<\/td><td>struct config{char domain[64]; char user [64]; char pass[64];&nbsp;char ip[64];&nbsp;char port[2];&nbsp;char serviceName[64]; char serviceDisplayName[128];&nbsp;char serviceDescription[128];};<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<p>\u0420\u0430\u0441\u0448\u0438\u0444\u0440\u043e\u0432\u0430\u043d\u043d\u044b\u0435 \u0437\u043d\u0430\u0447\u0435\u043d\u0438\u044f \u043f\u0440\u0438\u0432\u0435\u0434\u0435\u043d\u044b \u0432 \u0422\u0430\u0431\u043b\u0438\u0446\u0435 2.<\/p>\n\n\n\n<p><em>\u0422\u0430\u0431\u043b\u0438\u0446\u0430 2. \u041f\u0430\u0440\u044b &#171;\u043a\u043b\u044e\u0447-\u0437\u043d\u0430\u0447\u0435\u043d\u0438\u0435&#187; \u043a\u043e\u043d\u0444\u0438\u0433\u0443\u0440\u0430\u0446\u0438\u0438 \u0432\u043c\u0435\u0441\u0442\u0435 \u0441 \u043e\u043f\u0438\u0441\u0430\u043d\u0438\u0435\u043c \u0438\u0445 \u043d\u0430\u0437\u043d\u0430\u0447\u0435\u043d\u0438\u044f.<\/em><\/p>\n\n\n\n<figure id=\"tablepress-1001\" class=\"wp-block-table\"><table><thead><tr><th>\u041a\u043b\u044e\u0447<\/th><th>\u0417\u043d\u0430\u0447\u0435\u043d\u0438\u0435<\/th><th>\u041d\u0430\u0437\u043d\u0430\u0447\u0435\u043d\u0438\u0435<\/th><\/tr><\/thead><tbody><tr><td>domain<\/td><td>credits.offices-analytics[.]com<\/td><td>\u0414\u043e\u043c\u0435\u043d C&amp;C \u0441\u0435\u0440\u0432\u0435\u0440\u0430<\/td><\/tr><tr><td>user<\/td><td>\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044c<\/td><td>\u041d\u0430\u0441\u0442\u0440\u043e\u0439\u043a\u0438 \u043f\u0440\u043e\u043a\u0441\u0438, \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u043c\u044b\u0435 \u0434\u043b\u044f \u043f\u043e\u0434\u043a\u043b\u044e\u0447\u0435\u043d\u0438\u044f \u043a C&amp;C \u0441\u0435\u0440\u0432\u0435\u0440\u0443<\/td><\/tr><tr><td>pass<\/td><td>\u043f\u0430\u0440\u043e\u043b\u044c<\/td><td><\/td><\/tr><tr><td>ip<\/td><td>127.1.1.1<\/td><td><\/td><\/tr><tr><td>port<\/td><td>8080<\/td><td><\/td><\/tr><tr><td>serviceName<\/td><td>WSearchIndex<\/td><td>\u0418\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u044f, \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u043c\u0430\u044f \u0434\u043b\u044f \u0441\u043e\u0437\u0434\u0430\u043d\u0438\u044f \u0441\u043b\u0443\u0436\u0431\u044b \u0434\u043b\u044f \u043d\u0430\u0441\u0442\u0440\u043e\u0439\u043a\u0438 \u043f\u043e\u0441\u0442\u043e\u044f\u043d\u0441\u0442\u0432\u0430. \u0422\u0430\u043a\u0436\u0435 \u043e\u0431\u0440\u0430\u0442\u0438\u0442\u0435 \u0432\u043d\u0438\u043c\u0430\u043d\u0438\u0435, \u0447\u0442\u043e serviceName \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442\u0441\u044f \u0432 \u043a\u0430\u0447\u0435\u0441\u0442\u0432\u0435 \u0438\u043c\u0435\u043d\u0438 \u0437\u043d\u0430\u0447\u0435\u043d\u0438\u044f \u0432 \u0440\u0430\u0437\u0434\u0435\u043b\u0435 \u043a\u043b\u044e\u0447\u0430 \u0437\u0430\u043f\u0443\u0441\u043a\u0430 \u0440\u0435\u0435\u0441\u0442\u0440\u0430.<\/td><\/tr><tr><td>serviceDisplayName<\/td><td>\u0418\u043d\u0434\u0435\u043a\u0441 \u043f\u043e\u0438\u0441\u043a\u0430 Windows<\/td><td><\/td><\/tr><tr><td>serviceDescription<\/td><td>\u041e\u0431\u0435\u0441\u043f\u0435\u0447\u0438\u0432\u0430\u0435\u0442 \u0438\u043d\u0434\u0435\u043a\u0441\u0430\u0446\u0438\u044e \u0441\u043e\u0434\u0435\u0440\u0436\u0438\u043c\u043e\u0433\u043e, \u043a\u044d\u0448\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u0435 \u0441\u0432\u043e\u0439\u0441\u0442\u0432 \u0438 \u0440\u0435\u0437\u0443\u043b\u044c\u0442\u0430\u0442\u044b \u043f\u043e\u0438\u0441\u043a\u0430 \u0444\u0430\u0439\u043b\u043e\u0432, \u044d\u043b\u0435\u043a\u0442\u0440\u043e\u043d\u043d\u043e\u0439 \u043f\u043e\u0447\u0442\u044b \u0438 \u0434\u0440\u0443\u0433\u043e\u0433\u043e \u0441\u043e\u0434\u0435\u0440\u0436\u0438\u043c\u043e\u0433\u043e.<\/td><td><\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<p>\u0421\u043e\u0435\u0434\u0438\u043d\u0435\u043d\u0438\u044f \u043c\u043e\u0433\u0443\u0442 \u0431\u044b\u0442\u044c \u043b\u0438\u0431\u043e \u0447\u0435\u0440\u0435\u0437 \u043f\u0440\u043e\u043a\u0441\u0438, \u043b\u0438\u0431\u043e \u043d\u0435\u0442, \u0438 \u043f\u043e\u0434\u043a\u043b\u044e\u0447\u0430\u044e\u0442\u0441\u044f \u043a \u0441\u0435\u0440\u0432\u0435\u0440\u0443 C&amp;C \u0447\u0435\u0440\u0435\u0437 \u043f\u043e\u0440\u0442 443 (HTTPS). \u041f\u043e\u044d\u0442\u043e\u043c\u0443 \u0441\u0432\u044f\u0437\u044c \u0434\u043e\u043b\u0436\u043d\u0430 \u0431\u044b\u0442\u044c \u0437\u0430\u0448\u0438\u0444\u0440\u043e\u0432\u0430\u043d\u0430 \u0441 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u0438\u0435\u043c TLS. \u0412\u043e \u0432\u0440\u0435\u043c\u044f \u043f\u0435\u0440\u0432\u043e\u0439 \u043f\u043e\u043f\u044b\u0442\u043a\u0438 \u0441\u0432\u044f\u0437\u0430\u0442\u044c\u0441\u044f \u0441 C&amp;C \u0441\u0435\u0440\u0432\u0435\u0440\u043e\u043c SparrowDoor \u043f\u0440\u043e\u0432\u0435\u0440\u044f\u0435\u0442, \u043c\u043e\u0436\u043d\u043e \u043b\u0438 \u0443\u0441\u0442\u0430\u043d\u043e\u0432\u0438\u0442\u044c \u0441\u043e\u0435\u0434\u0438\u043d\u0435\u043d\u0438\u0435 \u0431\u0435\u0437 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u0438\u044f \u043f\u0440\u043e\u043a\u0441\u0438, \u0438 \u0435\u0441\u043b\u0438 \u043d\u0435\u0442, \u0442\u043e \u0434\u0430\u043d\u043d\u044b\u0435 \u043e\u0442\u043f\u0440\u0430\u0432\u043b\u044f\u044e\u0442\u0441\u044f \u0447\u0435\u0440\u0435\u0437 \u043f\u0440\u043e\u043a\u0441\u0438. \u0412\u0441\u0435 \u0438\u0441\u0445\u043e\u0434\u044f\u0449\u0438\u0435 \u0434\u0430\u043d\u043d\u044b\u0435 \u0448\u0438\u0444\u0440\u0443\u044e\u0442\u0441\u044f \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e XOR-\u043a\u043b\u044e\u0447\u0430 hH7@83#mi, \u0430 \u0432\u0441\u0435 \u0432\u0445\u043e\u0434\u044f\u0449\u0438\u0435 \u0434\u0430\u043d\u043d\u044b\u0435 \u0434\u0435\u0448\u0438\u0444\u0440\u0443\u044e\u0442\u0441\u044f \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e XOR-\u043a\u043b\u044e\u0447\u0430 h*^4hFa. \u0414\u0430\u043d\u043d\u044b\u0435 \u0438\u043c\u0435\u044e\u0442 \u0441\u0442\u0440\u0443\u043a\u0442\u0443\u0440\u0443, \u043a\u043e\u0442\u043e\u0440\u0430\u044f \u043d\u0430\u0447\u0438\u043d\u0430\u0435\u0442\u0441\u044f \u0441 \u0418\u0434\u0435\u043d\u0442\u0438\u0444\u0438\u043a\u0430\u0442\u043e\u0440\u0430 \u043a\u043e\u043c\u0430\u043d\u0434\u044b, \u043f\u043e\u0441\u043b\u0435 \u0447\u0435\u0433\u043e \u0441\u043b\u0435\u0434\u0443\u0435\u0442 \u0434\u043b\u0438\u043d\u0430 \u043f\u043e\u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0438\u0445 \u0437\u0430\u0448\u0438\u0444\u0440\u043e\u0432\u0430\u043d\u043d\u044b\u0445 \u0434\u0430\u043d\u043d\u044b\u0445, \u0430 \u0437\u0430\u0442\u0435\u043c &#8212; \u0437\u0430\u0448\u0438\u0444\u0440\u043e\u0432\u0430\u043d\u043d\u044b\u0435 \u0434\u0430\u043d\u043d\u044b\u0435.<\/p>\n\n\n\n<p>\u0420\u0438\u0441\u0443\u043d\u043e\u043a 4 \u043e\u0442\u043e\u0431\u0440\u0430\u0436\u0430\u0435\u0442 \u043f\u0440\u0438\u043c\u0435\u0440 \u0442\u043e\u0433\u043e, \u043a\u0430\u043a \u0434\u0430\u043d\u043d\u044b\u0435 \u043e\u0442\u043f\u0440\u0430\u0432\u043b\u044f\u044e\u0442\u0441\u044f \u043d\u0430 C&amp;C \u0441\u0435\u0440\u0432\u0435\u0440 (\u0432 \u0434\u0430\u043d\u043d\u043e\u043c \u0441\u043b\u0443\u0447\u0430\u0435 \u043e\u043d \u043e\u0442\u043f\u0440\u0430\u0432\u043b\u044f\u0435\u0442 \u0441\u0438\u0441\u0442\u0435\u043c\u043d\u0443\u044e \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u044e), \u0430 \u0420\u0438\u0441\u0443\u043d\u043e\u043a 5 &#8212; \u0444\u043e\u0440\u043c\u0443 \u043e\u0442\u043a\u0440\u044b\u0442\u043e\u0433\u043e \u0442\u0435\u043a\u0441\u0442\u0430 \u0442\u043e\u0439 \u0436\u0435 \u043f\u043e\u043b\u0435\u0437\u043d\u043e\u0439 \u043d\u0430\u0433\u0440\u0443\u0437\u043a\u0438 \u0434\u0430\u043d\u043d\u044b\u0445.<a  href=\"https:\/\/www.welivesecurity.com\/wp-content\/uploads\/2021\/09\/Figure-4.-A-Wireshark-dump-showing-the-data-POSTed-by-the-backdoor.png\" data-rel=\"lightbox-gallery-0\" data-rl_title=\"\" data-rl_caption=\"\" data-magnific_type=\"gallery\" title=\"\"><\/a><\/p>\n\n\n\n<figure class=\"wp-block-image size-full\"><img loading=\"lazy\" decoding=\"async\" width=\"768\" height=\"515\" src=\"https:\/\/blog.eset.ee\/wp-content\/uploads\/2021\/10\/Figure-4.-A-Wireshark-dump-showing-the-data-POSTed-by-the-backdoor-768x515-1.png\" alt=\"\" class=\"wp-image-5897\" srcset=\"https:\/\/blog.eset.ee\/wp-content\/uploads\/2021\/10\/Figure-4.-A-Wireshark-dump-showing-the-data-POSTed-by-the-backdoor-768x515-1.png 768w, https:\/\/blog.eset.ee\/wp-content\/uploads\/2021\/10\/Figure-4.-A-Wireshark-dump-showing-the-data-POSTed-by-the-backdoor-768x515-1-190x128.png 190w\" sizes=\"auto, (max-width: 768px) 100vw, 768px\" \/><\/figure>\n\n\n\n<p><em><a>\u0420\u0438\u0441\u0443\u043d\u043e\u043a <\/a>4. \u0421\u043a\u0440\u0438\u043d\u0448\u043e\u0442 Wireshark, \u043f\u043e\u043a\u0430\u0437\u044b\u0432\u0430\u044e\u0449\u0438\u0439 \u0434\u0430\u043d\u043d\u044b\u0435, \u043e\u0442\u043f\u0440\u0430\u0432\u043b\u0435\u043d\u043d\u044b\u0435 \u0431\u044d\u043a\u0434\u043e\u0440\u043e\u043c.<\/em><a  href=\"https:\/\/www.welivesecurity.com\/wp-content\/uploads\/2021\/09\/Figure-5.-The-decrypted-data-containing-system-information.png\" data-rel=\"lightbox-gallery-0\" data-rl_title=\"\" data-rl_caption=\"\" data-magnific_type=\"gallery\" title=\"\"><\/a><\/p>\n\n\n\n<figure class=\"wp-block-image size-full\"><img loading=\"lazy\" decoding=\"async\" width=\"768\" height=\"280\" src=\"https:\/\/blog.eset.ee\/wp-content\/uploads\/2021\/10\/Figure-5.-The-decrypted-data-containing-system-information-768x280-1.png\" alt=\"\" class=\"wp-image-5900\" srcset=\"https:\/\/blog.eset.ee\/wp-content\/uploads\/2021\/10\/Figure-5.-The-decrypted-data-containing-system-information-768x280-1.png 768w, https:\/\/blog.eset.ee\/wp-content\/uploads\/2021\/10\/Figure-5.-The-decrypted-data-containing-system-information-768x280-1-190x69.png 190w\" sizes=\"auto, (max-width: 768px) 100vw, 768px\" \/><\/figure>\n\n\n\n<p><em><a>\u0420\u0438\u0441\u0443\u043d\u043e\u043a <\/a>5. \u0420\u0430\u0441\u0448\u0438\u0444\u0440\u043e\u0432\u0430\u043d\u043d\u044b\u0435 \u0434\u0430\u043d\u043d\u044b\u0435, \u0441\u043e\u0434\u0435\u0440\u0436\u0430\u0449\u0438\u0435 \u0441\u0438\u0441\u0442\u0435\u043c\u043d\u0443\u044e \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u044e<\/em><\/p>\n\n\n\n<p><strong>Victim\u2019s local IP address<\/strong>&nbsp;in this case can be converted to decimal, giving 192.168.42.1.<\/p>\n\n\n\n<p><strong>\u041b\u043e\u043a\u0430\u043b\u044c\u043d\u044b\u0439 IP<\/strong><strong>-\u0430\u0434\u0440\u0435\u0441 \u0436\u0435\u0440\u0442\u0432\u044b<\/strong> \u0432 \u044d\u0442\u043e\u043c \u0441\u043b\u0443\u0447\u0430\u0435 \u043c\u043e\u0436\u043d\u043e \u043f\u0440\u0435\u043e\u0431\u0440\u0430\u0437\u043e\u0432\u0430\u0442\u044c \u0432 \u0434\u0435\u0441\u044f\u0442\u0438\u0447\u043d\u043e\u0435 \u0447\u0438\u0441\u043b\u043e, \u043f\u043e\u043b\u0443\u0447\u0438\u0432 192.168.42.1.<\/p>\n\n\n\n<p><strong>\u0418\u0434\u0435\u043d\u0442\u0438\u0444\u0438\u043a\u0430\u0442\u043e\u0440 \u0441\u0435\u0441\u0441\u0438\u0438<\/strong> &#8212; \u044d\u0442\u043e \u0438\u0434\u0435\u043d\u0442\u0438\u0444\u0438\u043a\u0430\u0442\u043e\u0440 \u0441\u0435\u0430\u043d\u0441\u0430 \u0421\u043b\u0443\u0436\u0431\u044b \u0443\u0434\u0430\u043b\u0435\u043d\u043d\u044b\u0445 \u0440\u0430\u0431\u043e\u0447\u0438\u0445 \u0441\u0442\u043e\u043b\u043e\u0432, \u0441\u0432\u044f\u0437\u0430\u043d\u043d\u044b\u0439 \u0441 \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u043e\u043c \u0431\u044d\u043a\u0434\u043e\u0440\u0430 \u0438 \u043d\u0430\u0439\u0434\u0435\u043d\u043d\u044b\u0439 \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e \u0432\u044b\u0437\u043e\u0432\u0430 <a href=\"https:\/\/docs.microsoft.com\/en-us\/windows\/win32\/api\/processthreadsapi\/nf-processthreadsapi-processidtosessionid\">ProcessIdToSessionId<\/a> Windows API.<\/p>\n\n\n\n<p><strong>systemInfoHash<\/strong> \u0432\u044b\u0447\u0438\u0441\u043b\u044f\u0435\u0442\u0441\u044f \u0447\u0435\u0440\u0435\u0437 <a href=\"http:\/\/www.cse.yorku.ca\/~oz\/hash.html#sdbm\">\u0430\u043b\u0433\u043e\u0440\u0438\u0442\u043c \u0445\u0435\u0448\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u044f sdbm<\/a>, \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u044f \u0438\u043c\u044f \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044f, \u0438\u043c\u044f \u043a\u043e\u043c\u043f\u044c\u044e\u0442\u0435\u0440\u0430, \u0430\u0434\u0440\u0435\u0441\u0430 \u0445\u043e\u0441\u0442\u0430 \u0438 \u0438\u0434\u0435\u043d\u0442\u0438\u0444\u0438\u043a\u0430\u0442\u043e\u0440 \u0441\u0435\u0430\u043d\u0441\u0430.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\"><em><strong>\u0424\u0443\u043d\u043a\u0446\u0438\u044f \u0438\u043d\u0442\u0435\u0440\u043f\u0440\u0435\u0442\u0430\u0442\u043e\u0440\u0430 \u0431\u044d\u043a\u0434\u043e\u0440\u0430<\/strong><\/em><\/h4>\n\n\n\n<p>\u0412 \u044d\u0442\u043e\u0439 \u0444\u0443\u043d\u043a\u0446\u0438\u0438 \u043f\u043e\u0432\u044b\u0448\u0435\u043d\u0438\u0435 \u043f\u0440\u0430\u0432 \u0432\u044b\u043f\u043e\u043b\u043d\u044f\u0435\u0442\u0441\u044f \u043f\u0443\u0442\u0435\u043c \u043d\u0430\u0441\u0442\u0440\u043e\u0439\u043a\u0438 \u0442\u043e\u043a\u0435\u043d\u0430 \u0434\u043e\u0441\u0442\u0443\u043f\u0430 \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u0430 SparrowDoor \u0434\u043b\u044f \u0432\u043a\u043b\u044e\u0447\u0435\u043d\u0438\u044f SeDebugPrivilege. \u041f\u043e\u0441\u043b\u0435 \u044d\u0442\u043e\u0433\u043e \u0434\u0435\u043b\u0430\u0435\u0442\u0441\u044f \u043f\u0430\u0442\u0447 \u0444\u0443\u043d\u043a\u0446\u0438\u0438 \u0432\u044b\u043a\u043b\u044e\u0447\u0435\u043d\u0438\u044f (Ws2_32.dll), \u0447\u0442\u043e\u0431\u044b \u043f\u0440\u0435\u0434\u043e\u0442\u0432\u0440\u0430\u0442\u0438\u0442\u044c \u043e\u0442\u043a\u043b\u044e\u0447\u0435\u043d\u0438\u0435 \u043e\u0442\u043f\u0440\u0430\u0432\u043a\u0438 \u0438 \u043f\u043e\u043b\u0443\u0447\u0435\u043d\u0438\u044f \u043d\u0430 \u0441\u043e\u043a\u0435\u0442\u0435, \u0430 \u0444\u0443\u043d\u043a\u0446\u0438\u044f closesocket (Ws2_32.dll) \u0438\u0441\u043f\u0440\u0430\u0432\u043b\u044f\u0435\u0442\u0441\u044f, \u0447\u0442\u043e\u0431\u044b \u0441\u043d\u0430\u0447\u0430\u043b\u0430 \u0432\u043a\u043b\u044e\u0447\u0438\u0442\u044c \u043f\u0430\u0440\u0430\u043c\u0435\u0442\u0440 DONT_LINGER \u0434\u043b\u044f \u0437\u0430\u043a\u0440\u044b\u0442\u0438\u044f \u0441\u043e\u043a\u0435\u0442\u0430, \u043f\u0440\u0435\u0436\u0434\u0435 \u0447\u0435\u043c \u043f\u043e\u044f\u0432\u044f\u0442\u0441\u044f \u0434\u0430\u043d\u043d\u044b\u0435, \u043e\u0436\u0438\u0434\u0430\u044e\u0449\u0438\u0435 \u043e\u0442\u043f\u0440\u0430\u0432\u043b\u0435\u043d\u0438\u044f \u0438\u043b\u0438 \u043f\u043e\u043b\u0443\u0447\u0435\u043d\u0438\u044f. \u041d\u0430\u043a\u043e\u043d\u0435\u0446, \u0441\u0438\u0441\u0442\u0435\u043c\u043d\u0430\u044f \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u044f \u043e\u0442\u043f\u0440\u0430\u0432\u043b\u044f\u0435\u0442\u0441\u044f \u043d\u0430 C&amp;C \u0441\u0435\u0440\u0432\u0435\u0440 (\u043a\u0430\u043a \u043f\u043e\u043a\u0430\u0437\u0430\u043d\u043e \u043d\u0430 \u0420\u0438\u0441\u0443\u043d\u043a\u0430\u0445 4 \u0438 5 \u0432\u044b\u0448\u0435) \u0434\u043b\u044f \u043f\u043e\u043b\u0443\u0447\u0435\u043d\u0438\u044f \u0434\u0430\u043d\u043d\u044b\u0445 \u043e\u0431\u0440\u0430\u0442\u043d\u043e.<\/p>\n\n\n\n<p>\u041d\u0430 \u043e\u0441\u043d\u043e\u0432\u0435 \u043f\u043e\u043b\u044f \u0418\u0434\u0435\u043d\u0442\u0438\u0444\u0438\u043a\u0430\u0442\u043e\u0440 \u043a\u043e\u043c\u0430\u043d\u0434\u044b \u0432 \u0434\u0430\u043d\u043d\u044b\u0445, \u043f\u043e\u043b\u0443\u0447\u0435\u043d\u043d\u044b\u0445 \u043e\u0442 C&amp;C \u0441\u0435\u0440\u0432\u0435\u0440\u0430, \u0431\u044d\u043a\u0434\u043e\u0440 \u043c\u043e\u0436\u0435\u0442 \u0432\u044b\u043f\u043e\u043b\u043d\u044f\u0442\u044c \u0440\u0430\u0437\u043b\u0438\u0447\u043d\u044b\u0435 \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u044b\u0435 \u0434\u0435\u0439\u0441\u0442\u0432\u0438\u044f, \u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u043f\u043e\u043a\u0430\u0437\u0430\u043d\u044b \u043f\u043e\u0434\u0440\u043e\u0431\u043d\u043e \u0432 \u0422\u0430\u0431\u043b\u0438\u0446\u0435 3.<\/p>\n\n\n\n<p><em>\u0422\u0430\u0431\u043b\u0438\u0446\u0430 3. \u0414\u0435\u0439\u0441\u0442\u0432\u0438\u044f, \u0432\u044b\u043f\u043e\u043b\u043d\u044f\u0435\u043c\u044b\u0435 SparrowDoor \u043f\u0440\u0438 \u043f\u043e\u043b\u0443\u0447\u0435\u043d\u0438\u0438 \u0441\u043e\u043e\u0442\u0432\u0435\u0442\u0441\u0442\u0432\u0443\u044e\u0449\u0438\u0445 \u0418\u0434\u0435\u043d\u0442\u0438\u0444\u0438\u043a\u0430\u0442\u043e\u0440\u043e\u0432 \u043a\u043e\u043c\u0430\u043d\u0434<\/em><\/p>\n\n\n\n<figure id=\"tablepress-1002\" class=\"wp-block-table\"><table><thead><tr><th>ID \u043a\u043e\u043c\u0430\u043d\u0434\u044b<\/th><th>\u0414\u0435\u0439\u0441\u0442\u0432\u0438\u0435<\/th><\/tr><\/thead><tbody><tr><td>0x1C615632<\/td><td>\u0422\u0435\u043a\u0443\u0449\u0438\u0439 \u043f\u0440\u043e\u0446\u0435\u0441\u0441 \u0437\u0430\u043a\u0440\u044b\u0442.<\/td><\/tr><tr><td>0x1DE15F35<\/td><td>\u0414\u043e\u0447\u0435\u0440\u043d\u0438\u0439 \u043f\u0440\u043e\u0446\u0435\u0441\u0441 svchost.exe \u043f\u043e\u0440\u043e\u0436\u0434\u0430\u0435\u0442\u0441\u044f \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u0438 processToken \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u0430 (\u0438\u0434\u0435\u043d\u0442\u0438\u0444\u0438\u043a\u0430\u0442\u043e\u0440\u0430 \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u0430), \u0443\u043a\u0430\u0437\u0430\u043d\u043d\u043e\u0433\u043e C&amp;C \u0441\u0435\u0440\u0432\u0435\u0440\u043e\u043c, \u0441 \u0430\u0440\u0433\u0443\u043c\u0435\u043d\u0442\u043e\u043c -d, \u0430 \u0437\u0430\u0442\u0435\u043c \u0432 \u043f\u0440\u043e\u0446\u0435\u0441\u0441 \u0432\u0432\u043e\u0434\u0438\u0442\u0441\u044f \u0448\u0435\u043b\u043b-\u043a\u043e\u0434.<\/td><\/tr><tr><td>0x1A6B561A<\/td><td>\u041a\u0430\u0442\u0430\u043b\u043e\u0433 \u0441\u043e\u0437\u0434\u0430\u0435\u0442\u0441\u044f \u0441 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u0438\u0435\u043c \u0438\u043c\u0435\u043d\u0438, \u043f\u0440\u0435\u0434\u043e\u0441\u0442\u0430\u0432\u043b\u0435\u043d\u043d\u043e\u0433\u043e C&amp;C \u0441\u0435\u0440\u0432\u0435\u0440\u043e\u043c.<\/td><\/tr><tr><td>0x18695638<\/td><td>\u041f\u0435\u0440\u0435\u0438\u043c\u0435\u043d\u043e\u0432\u0430\u043d\u0438\u0435 \u0444\u0430\u0439\u043b\u0430. \u0418 \u0444\u0430\u0439\u043b, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u043d\u0443\u0436\u043d\u043e \u043f\u0435\u0440\u0435\u0438\u043c\u0435\u043d\u043e\u0432\u0430\u0442\u044c, \u0438 \u043d\u043e\u0432\u043e\u0435 \u0438\u043c\u044f \u043f\u0440\u0435\u0434\u043e\u0441\u0442\u0430\u0432\u043b\u044f\u044e\u0442\u0441\u044f C&amp;C \u0441\u0435\u0440\u0432\u0435\u0440\u043e\u043c.<\/td><\/tr><tr><td>0x196A5629<\/td><td>\u0423\u0434\u0430\u043b\u0435\u043d\u0438\u0435 \u0444\u0430\u0439\u043b\u0430 \u0432 \u0441\u043e\u043e\u0442\u0432\u0435\u0442\u0441\u0442\u0432\u0438\u0438 \u0441 \u0432\u0445\u043e\u0434\u044f\u0449\u0438\u043c\u0438 \u0434\u0430\u043d\u043d\u044b\u043c\u0438.<\/td><\/tr><tr><td>0x17685647<\/td><td>\u0415\u0441\u043b\u0438 \u0434\u043b\u0438\u043d\u0430 \u0434\u0430\u043d\u043d\u044b\u0445 \u0440\u0430\u0432\u043d\u0430 1 \u0438 \u0434\u0430\u043d\u043d\u044b\u0435 \u0441\u043e\u043e\u0442\u0432\u0435\u0442\u0441\u0442\u0432\u0443\u044e\u0442 $, \u0442\u043e \u043e\u0442\u043f\u0440\u0430\u0432\u043b\u044f\u0435\u0442\u0441\u044f \u0434\u043b\u0438\u043d\u0430 systemInfoHash \u0432\u043c\u0435\u0441\u0442\u0435 \u0441 \u043c\u0430\u0441\u0441\u0438\u0432\u043e\u043c \u0442\u0438\u043f\u043e\u0432 \u0434\u0438\u0441\u043a\u043e\u0432.\n\n\u0415\u0441\u043b\u0438 \u0434\u043b\u0438\u043d\u0430 \u0434\u0430\u043d\u043d\u044b\u0445 \u0431\u043e\u043b\u044c\u0448\u0435 2 \u0438 \u043f\u0435\u0440\u0432\u044b\u0435 2 \u0431\u0430\u0439\u0442\u0430 \u0434\u0430\u043d\u043d\u044b\u0445 \u0441\u043e\u0432\u043f\u0430\u0434\u0430\u044e\u0442 \u0441 $\\, \u0442\u043e \u043e\u0442\u043f\u0440\u0430\u0432\u043b\u044f\u0435\u0442\u0441\u044f \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u044f \u043e \u0444\u0430\u0439\u043b\u0430\u0445 \u0432 \u0443\u043a\u0430\u0437\u0430\u043d\u043d\u043e\u043c \u043a\u0430\u0442\u0430\u043b\u043e\u0433\u0435. \u0412\u043a\u043b\u044e\u0447\u0430\u044f \u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0443\u044e \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u044e: \u0430\u0442\u0440\u0438\u0431\u0443\u0442\u044b \u0444\u0430\u0439\u043b\u0430, \u0440\u0430\u0437\u043c\u0435\u0440 \u0444\u0430\u0439\u043b\u0430 \u0438 \u0432\u0440\u0435\u043c\u044f \u0437\u0430\u043f\u0438\u0441\u0438 \u0444\u0430\u0439\u043b\u0430.\n<\/td><\/tr><tr><td>0x15665665<\/td><td>\u0421\u043e\u0437\u0434\u0430\u0435\u0442\u0441\u044f \u043d\u043e\u0432\u044b\u0439 \u043f\u043e\u0442\u043e\u043a \u0434\u043b\u044f \u044d\u043a\u0441\u0444\u0438\u043b\u044c\u0442\u0440\u0430\u0446\u0438\u0438 \u0441\u043e\u0434\u0435\u0440\u0436\u0438\u043c\u043e\u0433\u043e \u0443\u043a\u0430\u0437\u0430\u043d\u043d\u043e\u0433\u043e \u0444\u0430\u0439\u043b\u0430.<\/td><\/tr><tr><td>0x16675656<\/td><td>\u0415\u0441\u043b\u0438 \u0430\u043a\u0442\u0438\u0432\u0438\u0440\u043e\u0432\u0430\u043d \u0430\u0432\u0430\u0440\u0438\u0439\u043d\u044b\u0439 \u0432\u044b\u043a\u043b\u044e\u0447\u0430\u0442\u0435\u043b\u044c, \u0442\u043e \u0442\u0435\u043a\u0443\u0449\u0438\u0435 \u043f\u0430\u0440\u0430\u043c\u0435\u0442\u0440\u044b \u043f\u043e\u0441\u0442\u043e\u044f\u043d\u0441\u0442\u0432\u0430 (\u0440\u0435\u0435\u0441\u0442\u0440 \u0438 \u0441\u043b\u0443\u0436\u0431\u0430) \u0443\u0434\u0430\u043b\u044f\u044e\u0442\u0441\u044f \u0438 \u0432\u044b\u043f\u043e\u043b\u043d\u044f\u0435\u0442\u0441\u044f \u0444\u0430\u0439\u043b Indexer.exe (\u0434\u043b\u044f \u043f\u0435\u0440\u0435\u0437\u0430\u043f\u0443\u0441\u043a\u0430 \u0434\u0440\u043e\u043f\u043f\u0435\u0440\u0430). \u0415\u0441\u043b\u0438 \u043d\u0435\u0442, \u043f\u0435\u0440\u0435\u0437\u0430\u043f\u0443\u0441\u043a\u0430\u0435\u0442\u0441\u044f \u0446\u0438\u043a\u043b \u0431\u044d\u043a\u0434\u043e\u0440\u0430.<\/td><\/tr><tr><td>0x14655674<\/td><td>\u0421\u043e\u0437\u0434\u0430\u0435\u0442\u0441\u044f \u043d\u043e\u0432\u044b\u0439 \u043f\u043e\u0442\u043e\u043a \u0434\u043b\u044f \u0437\u0430\u043f\u0438\u0441\u0438 \u0434\u0430\u043d\u043d\u044b\u0445 \u0432 \u0443\u043a\u0430\u0437\u0430\u043d\u043d\u044b\u0439 \u0444\u0430\u0439\u043b.<\/td><\/tr><tr><td>0x12635692<\/td><td>\u0415\u0441\u043b\u0438 \u0430\u043a\u0442\u0438\u0432\u0438\u0440\u043e\u0432\u0430\u043d \u0430\u0432\u0430\u0440\u0438\u0439\u043d\u044b\u0439 \u0432\u044b\u043a\u043b\u044e\u0447\u0430\u0442\u0435\u043b\u044c, \u043f\u0430\u0440\u0430\u043c\u0435\u0442\u0440\u044b \u043f\u043e\u0441\u0442\u043e\u044f\u043d\u0441\u0442\u0432\u0430 \u0443\u0434\u0430\u043b\u044f\u044e\u0442\u0441\u044f, \u0430 \u0432\u0441\u0435 \u0444\u0430\u0439\u043b\u044b, \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u043c\u044b\u0435 SparrowDoor (Indexer.exe, K7UI.dll \u0438 MpSvc.dll), \u0443\u0434\u0430\u043b\u044f\u044e\u0442\u0441\u044f. \u0415\u0441\u043b\u0438 \u043d\u0435\u0442, \u0446\u0438\u043a\u043b \u0431\u044d\u043a\u0434\u043e\u0440\u0430 \u043f\u0435\u0440\u0435\u0437\u0430\u043f\u0443\u0441\u043a\u0430\u0435\u0442\u0441\u044f.<\/td><\/tr><tr><td>0x13645683<\/td><td>\u0415\u0441\u043b\u0438 \u0434\u0430\u043d\u043d\u044b\u0435 \u0441\u043e\u043e\u0442\u0432\u0435\u0442\u0441\u0442\u0432\u0443\u044e\u0442 \u201cswitch \u201d, \u0442\u043e \u0431\u044d\u043a\u0434\u043e\u0440 \u043f\u0435\u0440\u0435\u0437\u0430\u043f\u0443\u0441\u043a\u0430\u0435\u0442\u0441\u044f \u0441 \u043f\u0435\u0440\u0435\u043a\u043b\u044e\u0447\u0430\u0442\u0435\u043b\u0435\u043c -d.\n\n\u0412 \u043f\u0440\u043e\u0442\u0438\u0432\u043d\u043e\u043c \u0441\u043b\u0443\u0447\u0430\u0435 \u043e\u043d \u043f\u043e\u0440\u043e\u0436\u0434\u0430\u0435\u0442 \u043e\u0431\u043e\u043b\u043e\u0447\u043a\u0443 cmd.exe \u0438 \u043d\u0430\u0441\u0442\u0440\u0430\u0438\u0432\u0430\u0435\u0442 \u0438\u043c\u0435\u043d\u043e\u0432\u0430\u043d\u043d\u044b\u0435 \u043a\u0430\u043d\u0430\u043b\u044b \u0434\u043b\u044f \u0432\u0432\u043e\u0434\u0430 \u0438 \u0432\u044b\u0432\u043e\u0434\u0430 (\u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u043c\u044b\u0435 \u0441\u0435\u0440\u0432\u0435\u0440\u043e\u043c C&amp;C), \u0447\u0442\u043e\u0431\u044b \u0443\u0441\u0442\u0430\u043d\u043e\u0432\u0438\u0442\u044c \u0438\u043d\u0442\u0435\u0440\u0430\u043a\u0442\u0438\u0432\u043d\u0443\u044e \u043e\u0431\u0440\u0430\u0442\u043d\u0443\u044e \u043e\u0431\u043e\u043b\u043e\u0447\u043a\u0443.\n\n\u0415\u0441\u043b\u0438 \u0434\u0430\u043d\u043d\u044b\u0435 \u0441\u043e\u043e\u0442\u0432\u0435\u0442\u0441\u0442\u0432\u0443\u044e\u0442 Exit\\r\\n, \u043f\u043e\u0440\u043e\u0436\u0434\u0435\u043d\u043d\u0430\u044f \u043e\u0431\u043e\u043b\u043e\u0447\u043a\u0430 \u0437\u0430\u0432\u0435\u0440\u0448\u0430\u0435\u0442\u0441\u044f.\n<\/td><\/tr><tr><td>\u0414\u0440\u0443\u0433\u043e\u0435<\/td><td>\u041f\u0435\u0440\u0435\u0437\u0430\u043f\u0443\u0441\u043a\u0430\u0435\u0442 \u0446\u0438\u043a\u043b \u0431\u044d\u043a\u0434\u043e\u0440\u0430.<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<h2 class=\"wp-block-heading\">\u0417\u0430\u043a\u043b\u044e\u0447\u0435\u043d\u0438\u0435<\/h2>\n\n\n\n<p>FamousSparrow &#8212; \u0435\u0449\u0435 \u043e\u0434\u043d\u0430 \u0433\u0440\u0443\u043f\u043f\u0430 \u041f\u041f\u0423, \u043a\u043e\u0442\u043e\u0440\u043e\u0439 \u0431\u044b\u043b\u0430 \u0434\u043e\u0441\u0442\u0443\u043f\u043d\u0430 \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u044c \u0443\u0434\u0430\u043b\u0435\u043d\u043d\u043e\u0433\u043e \u0432\u044b\u043f\u043e\u043b\u043d\u0435\u043d\u0438\u044f \u043a\u043e\u0434\u0430 ProxyLogon \u0432 \u043d\u0430\u0447\u0430\u043b\u0435 \u043c\u0430\u0440\u0442\u0430 2021 \u0433\u043e\u0434\u0430. \u041e\u043d\u0430 \u0438\u043c\u0435\u0435\u0442 \u0438\u0441\u0442\u043e\u0440\u0438\u044e \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u0438\u044f \u0438\u0437\u0432\u0435\u0441\u0442\u043d\u044b\u0445 \u0431\u0440\u0435\u0448\u0435\u0439 \u0432 \u0441\u0435\u0440\u0432\u0435\u0440\u043d\u044b\u0445 \u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u044f\u0445, \u0442\u0430\u043a\u0438\u0445 \u043a\u0430\u043a SharePoint \u0438 Oracle Opera. \u042d\u0442\u043e \u0435\u0449\u0435 \u043e\u0434\u043d\u043e \u043d\u0430\u043f\u043e\u043c\u0438\u043d\u0430\u043d\u0438\u0435 \u043e \u0442\u043e\u043c, \u0447\u0442\u043e \u043e\u0447\u0435\u043d\u044c \u0432\u0430\u0436\u043d\u043e \u0431\u044b\u0441\u0442\u0440\u043e \u0438\u0441\u043f\u0440\u0430\u0432\u043b\u044f\u0442\u044c \u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u044f, \u043f\u043e\u0434\u043a\u043b\u044e\u0447\u0435\u043d\u043d\u044b\u0435 \u043a \u0438\u043d\u0442\u0435\u0440\u043d\u0435\u0442\u0443, \u0438\u043b\u0438, \u0435\u0441\u043b\u0438 \u0431\u044b\u0441\u0442\u0440\u043e\u0435 \u0438\u0441\u043f\u0440\u0430\u0432\u043b\u0435\u043d\u0438\u0435 \u043d\u0435\u0432\u043e\u0437\u043c\u043e\u0436\u043d\u043e, \u0432\u043e\u043e\u0431\u0449\u0435 \u043d\u0435 \u043f\u043e\u0434\u043a\u043b\u044e\u0447\u0430\u0442\u044c \u0438\u0445 \u043a \u0438\u043d\u0442\u0435\u0440\u043d\u0435\u0442\u0443.<\/p>\n\n\n\n<p>\u0412\u044b\u0431\u043e\u0440 \u043c\u0438\u0448\u0435\u043d\u0435\u0439, \u0432 \u0447\u0438\u0441\u043b\u043e \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u0432\u0445\u043e\u0434\u044f\u0442 \u043f\u0440\u0430\u0432\u0438\u0442\u0435\u043b\u044c\u0441\u0442\u0432\u0430 \u043f\u043e \u0432\u0441\u0435\u043c\u0443 \u043c\u0438\u0440\u0443, \u043f\u0440\u0438\u0432\u043e\u0434\u0438\u0442 \u043a \u0432\u044b\u0432\u043e\u0434\u0443, \u0447\u0442\u043e \u0446\u0435\u043b\u044c\u044e FamousSparrow \u044f\u0432\u043b\u044f\u0435\u0442\u0441\u044f \u0448\u043f\u0438\u043e\u043d\u0430\u0436. \u041c\u044b \u0432\u044b\u0434\u0435\u043b\u0438\u043b\u0438 \u043d\u0435\u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u0441\u0441\u044b\u043b\u043a\u0438 \u043d\u0430 SparklingGoblin \u0438 DRBControl, \u043d\u043e \u043c\u044b \u043d\u0435 \u0441\u0447\u0438\u0442\u0430\u0435\u043c, \u0447\u0442\u043e \u044d\u0442\u0438 \u0433\u0440\u0443\u043f\u043f\u044b \u043e\u0434\u0438\u043d\u0430\u043a\u043e\u0432\u044b.<\/p>\n\n\n\n<p><em><em>\u041f\u043e\u043b\u043d\u044b\u0439 \u0441\u043f\u0438\u0441\u043e\u043a \u0438\u043d\u0434\u0438\u043a\u0430\u0442\u043e\u0440\u043e\u0432 \u0432\u0437\u043b\u043e\u043c\u0430 (IoC) \u0438 \u043e\u0431\u0440\u0430\u0437\u0446\u044b \u043c\u043e\u0436\u043d\u043e \u043d\u0430\u0439\u0442\u0438 \u0432 <\/em><a href=\"https:\/\/github.com\/eset\/malware-ioc\/tree\/master\/famoussparrow\"><em>\u043d\u0430\u0448\u0435\u043c \u0440\u0435\u043f\u043e\u0437\u0438\u0442\u043e\u0440\u0438\u0438 GitHub<\/em><\/a><em>.<\/em><\/em><\/p>\n\n\n\n<p><em><em>\u041f\u043e \u043b\u044e\u0431\u044b\u043c \u0432\u043e\u043f\u0440\u043e\u0441\u0430\u043c, \u0430 \u0442\u0430\u043a\u0436\u0435 \u0434\u043b\u044f \u043e\u0442\u043f\u0440\u0430\u0432\u043a\u0438 \u043e\u0431\u0440\u0430\u0437\u0446\u043e\u0432 \u043c\u0430\u0442\u0435\u0440\u0438\u0430\u043b\u043e\u0432 \u043f\u043e \u0442\u0435\u043c\u0435, \u0432\u044b \u043c\u043e\u0436\u0435\u0442\u0435 \u0441\u0432\u044f\u0437\u0430\u0442\u044c\u0441\u044f \u0441 \u043d\u0430\u043c\u0438 \u043f\u043e \u0430\u0434\u0440\u0435\u0441\u0443 threatintel@eset.com.<\/em><\/em><\/p>\n\n\n\n<h2 class=\"wp-block-heading\">\u0418\u043d\u0434\u0438\u043a\u0430\u0442\u043e\u0440\u044b \u0443\u0433\u0440\u043e\u0437\u044b<\/h2>\n\n\n\n<figure id=\"tablepress-1003\" class=\"wp-block-table\"><table><thead><tr><th>SHA-1<\/th><th>\u0418\u043c\u044f \u0444\u0430\u0439\u043b\u0430<\/th><th>\u0418\u043c\u044f \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0435\u043d\u0438\u044f ESET<\/th><th>\u041e\u043f\u0438\u0441\u0430\u043d\u0438\u0435<\/th><\/tr><\/thead><tbody><tr><td>B9601E60F87545441BF8579B2F62668C56507F4A<\/td><td>p64.exe<br>debug.log<\/td><td>Win64\/Riskware.Mimikatz.H<\/td><td>Mimikatz<\/td><\/tr><tr><td>4DF896624695EA2780552E9EA3C40661DC84EFC8<\/td><td>p64.exe<br>debug.log<\/td><td>Win64\/Riskware.Mimikatz.H<\/td><td>Mimikatz<\/td><\/tr><tr><td>76C430B55F180A85F4E1A1E40E4A2EA37DB97599<\/td><td>dump.exe<\/td><td>Win64\/Kryptik.BSQ<\/td><td>\u0414\u0430\u043c\u043f\u0435\u0440 Lsass<\/td><\/tr><tr><td>873F98CAF234C3A8A9DB18343DAD7B42117E85D4<\/td><td>nbtscan.exe<\/td><td>Win32\/NetTool.Nbtscan.A<\/td><td>Nbtscan<\/td><\/tr><tr><td>FDC44057E87D7C350E6DF84BB72541236A770BA2<\/td><td>1.cab<\/td><td>Win32\/FamousSparrow.A<\/td><td>\u0414\u0440\u043e\u043f\u043f\u0435\u0440<\/td><\/tr><tr><td>C36ECD2E0F38294E1290F4B9B36F602167E33614<\/td><td>Indexer.exe<\/td><td>&#8212;<\/td><td>\u041d\u0430\u0441\u0442\u043e\u044f\u0449\u0438\u0439 \u0434\u0432\u043e\u0438\u0447\u043d\u044b\u0439 \u043a\u043e\u0434 K7 Computing<\/td><\/tr><tr><td>BB2F5B573AC7A761015DAAD0B7FF03B294DC60F6<\/td><td>K7UI.dll<\/td><td>Win32\/FamousSparrow.A<\/td><td>\u0417\u0430\u0433\u0440\u0443\u0437\u0447\u0438\u043a<\/td><\/tr><tr><td>23E228D5603B4802398B2E7419187AEF71FF9DD5<\/td><td>MpSvc.dll<\/td><td><\/td><td>\u0417\u0430\u0448\u0438\u0444\u0440\u043e\u0432\u0430\u043d\u043d\u044b\u0439 \u0448\u0435\u043b\u043b-\u043a\u043e\u0434<\/td><\/tr><tr><td>2560B7E28B322BB7A56D0B1DA1B2652E1EFE76EA<\/td><td>&#8212;<\/td><td>&#8212;<\/td><td>\u0420\u0430\u0437\u0448\u0438\u0444\u0440\u043e\u0432\u0430\u043d\u043d\u044b\u0439 \u0448\u0435\u043b\u043b-\u043a\u043e\u0434<\/td><\/tr><tr><td>E2B0851E2E281CC7BCA3D6D9B2FA0C4B7AC5A02B<\/td><td>K7UI.dll<\/td><td>Win32\/FamousSparrow.B<\/td><td>\u0417\u0430\u0433\u0440\u0443\u0437\u0447\u0438\u043a<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<figure id=\"tablepress-1004\" class=\"wp-block-table\"><table><thead><tr><th>\u0414\u043e\u043c\u0435\u043d<\/th><th>IP-\u0430\u0434\u0440\u0435\u0441<\/th><th>\u041a\u043e\u043c\u043c\u0435\u043d\u0442\u0430\u0440\u0438\u0439<\/th><\/tr><\/thead><tbody><tr><td>credits.offices-analytics[.]com<\/td><td>45.192.178[.]206<\/td><td>SparrowDoor C&amp;C \u0441\u0435\u0440\u0432\u0435\u0440<\/td><\/tr><tr><td>&#8212;<\/td><td>27.102.113[.]240<\/td><td>\u0414\u043e\u043c\u0435\u043d \u0434\u043e\u0441\u0442\u0430\u0432\u043a\u0438<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<h2 class=\"wp-block-heading\">\u0422\u0435\u0445\u043d\u0438\u043a\u0438 MITRE ATT&amp;CK<\/h2>\n\n\n\n<p>\u0414\u0430\u043d\u043d\u0430\u044f \u0442\u0430\u0431\u043b\u0438\u0446\u0430 \u043f\u043e\u0441\u0442\u0440\u043e\u0435\u043d\u0430 \u0441 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u0438\u0435\u043c <a href=\"https:\/\/attack.mitre.org\/resources\/versions\/\" target=\"_blank\" rel=\"noreferrer noopener\">\u0432\u0435\u0440\u0441\u0438\u0438 9<\/a> \u043a\u0430\u0440\u043a\u0430\u0441\u0430 MITRE ATT&amp;CK.<\/p>\n\n\n\n<figure id=\"tablepress-1005\" class=\"wp-block-table\"><table><thead><tr><th>\u0422\u0430\u043a\u0442\u0438\u043a\u0430<\/th><th>ID<\/th><th>\u0418\u043c\u044f<\/th><th>\u041e\u043f\u0438\u0441\u0430\u043d\u0438\u0435<\/th><\/tr><\/thead><tbody><tr><td>\u0420\u0430\u0437\u0432\u0438\u0442\u0438\u0435 \u0440\u0435\u0441\u0443\u0440\u0441\u043e\u0432<\/td><td><a href=\"https:\/\/attack.mitre.org\/versions\/v9\/techniques\/T1588\/005\" rel=\"noreferrer noopener\" target=\"_blank\">T1588.005<\/a><\/td><td>\u041f\u043e\u043b\u0443\u0447\u0438\u0442\u044c \u0432\u043e\u0437\u043c\u043e\u0436\u043d\u043e\u0441\u0442\u0438: \u044d\u043a\u0441\u043f\u043b\u043e\u0439\u0442\u044b<\/td><td>FamousSparrow \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043b \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u0438 RCE \u043f\u0440\u043e\u0442\u0438\u0432 Microsoft Exchange, SharePoint \u0438 Oracle Opera.<\/td><\/tr><tr><td><\/td><td><a href=\"https:\/\/attack.mitre.org\/versions\/v9\/techniques\/T1583\/001\" rel=\"noreferrer noopener\" target=\"_blank\">T1583.001<\/a><\/td><td>\u041f\u0440\u0438\u043e\u0431\u0440\u0435\u0441\u0442\u0438 \u0438\u043d\u0444\u0440\u0430\u0441\u0442\u0440\u0443\u043a\u0442\u0443\u0440\u0443: \u0434\u043e\u043c\u0435\u043d\u044b<\/td><td>FamousSparrow \u043f\u0440\u0438\u043e\u0431\u0440\u0435\u043b \u0434\u043e\u043c\u0435\u043d \u0443 Hosting Concepts.<\/td><\/tr><tr><td><\/td><td><a href=\"https:\/\/attack.mitre.org\/versions\/v9\/techniques\/T1583\/004\" rel=\"noreferrer noopener\" target=\"_blank\">T1583.004<\/a><\/td><td>\u041f\u0440\u0438\u043e\u0431\u0440\u0435\u0441\u0442\u0438 \u0438\u043d\u0444\u0440\u0430\u0441\u0442\u0440\u0443\u043a\u0442\u0443\u0440\u0443: \u0441\u0435\u0440\u0432\u0435\u0440<\/td><td>FamousSparrow \u0430\u0440\u0435\u043d\u0434\u043e\u0432\u0430\u043b\u0430 \u0441\u0435\u0440\u0432\u0435\u0440\u044b \u0443 Shanghai Ruisu Network Technology \u0438 DAOU TECHNOLOGY.<\/td><\/tr><tr><td>\u041f\u0435\u0440\u0432\u043e\u043d\u0430\u0447\u0430\u043b\u044c\u043d\u044b\u0439 \u0434\u043e\u0441\u0442\u0443\u043f<\/td><td><a href=\"https:\/\/attack.mitre.org\/versions\/v9\/techniques\/T1190\" rel=\"noreferrer noopener\" target=\"_blank\">T1190<\/a><\/td><td>\u0418\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u044c \u043f\u0443\u0431\u043b\u0438\u0447\u043d\u043e\u0435 \u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u0435<\/td><td>FamousSparrow \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043b \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u0438 RCE \u043f\u0440\u043e\u0442\u0438\u0432 Microsoft Exchange, SharePoint \u0438 Oracle Opera.<\/td><\/tr><tr><td>\u0418\u0441\u043f\u043e\u043b\u043d\u0435\u043d\u0438\u0435<\/td><td><a href=\"https:\/\/attack.mitre.org\/versions\/v9\/techniques\/T1059\/003\" rel=\"noreferrer noopener\" target=\"_blank\">T1059.003<\/a><\/td><td>\u0418\u043d\u0442\u0435\u0440\u043f\u0440\u0435\u0442\u0430\u0442\u043e\u0440 \u043a\u043e\u043c\u0430\u043d\u0434 \u0438 \u0441\u0446\u0435\u043d\u0430\u0440\u0438\u0435\u0432: \u043a\u043e\u043c\u0430\u043d\u0434\u043d\u0430\u044f \u043e\u0431\u043e\u043b\u043e\u0447\u043a\u0430 Windows<\/td><td>FamousSparrow \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043b cmd.exe \u0434\u043b\u044f \u0437\u0430\u043f\u0443\u0441\u043a\u0430 \u043a\u043e\u043c\u0430\u043d\u0434 \u0437\u0430\u0433\u0440\u0443\u0437\u043a\u0438 \u0438 \u0443\u0441\u0442\u0430\u043d\u043e\u0432\u043a\u0438 SparrowDoor.<\/td><\/tr><tr><td><\/td><td><a href=\"https:\/\/attack.mitre.org\/versions\/v9\/techniques\/T1203\" rel=\"noreferrer noopener\" target=\"_blank\">T1203<\/a><\/td><td>\u042d\u043a\u0441\u043f\u043b\u0443\u0430\u0442\u0430\u0446\u0438\u044f \u0434\u043b\u044f \u043a\u043b\u0438\u0435\u043d\u0442\u0441\u043a\u043e\u0433\u043e \u0438\u0441\u043f\u043e\u043b\u043d\u0435\u043d\u0438\u044f<\/td><td>FamousSparrow \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043b \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u0438 RCE \u0432 Microsoft Exchange, SharePoint \u0438 Oracle Opera \u0434\u043b\u044f \u0443\u0441\u0442\u0430\u043d\u043e\u0432\u043a\u0438 SparrowDoor.<\/td><\/tr><tr><td>\u041f\u043e\u0441\u0442\u043e\u044f\u043d\u0441\u0442\u0432\u043e<\/td><td><a href=\"https:\/\/attack.mitre.org\/versions\/v9\/techniques\/T1547\/001\" rel=\"noreferrer noopener\" target=\"_blank\">T1547.001<\/a><\/td><td>\u0412\u044b\u043f\u043e\u043b\u043d\u0435\u043d\u0438\u0435 \u0430\u0432\u0442\u043e\u0437\u0430\u043f\u0443\u0441\u043a\u0430 \u043f\u0440\u0438 \u0437\u0430\u0433\u0440\u0443\u0437\u043a\u0435 \u0438\u043b\u0438 \u0432\u0445\u043e\u0434\u0435 \u0432 \u0441\u0438\u0441\u0442\u0435\u043c\u0443: \u041a\u043b\u044e\u0447\u0438 \u0437\u0430\u043f\u0443\u0441\u043a\u0430 \u0440\u0435\u0435\u0441\u0442\u0440\u0430 \/ \u041f\u0430\u043f\u043a\u0430 \u0437\u0430\u043f\u0443\u0441\u043a\u0430<\/td><td>SparrowDoor \u043e\u0431\u0435\u0441\u043f\u0435\u0447\u0438\u0432\u0430\u0435\u0442 \u043f\u043e\u0441\u0442\u043e\u044f\u043d\u0441\u0442\u0432\u043e \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e \u043f\u0430\u0440\u0430\u043c\u0435\u0442\u0440\u0430 \u0437\u0430\u043f\u0443\u0441\u043a\u0430 \u0440\u0435\u0435\u0441\u0442\u0440\u0430 HKCU WSearchIndex = \\Indexer.exe -i \u0437\u0430\u043f\u0438\u0441\u0438 \u0440\u0435\u0435\u0441\u0442\u0440\u0430.<\/td><\/tr><tr><td><\/td><td><a href=\"https:\/\/attack.mitre.org\/versions\/v9\/techniques\/T1543\/003\" rel=\"noreferrer noopener\" target=\"_blank\">T1543.003<\/a><\/td><td>\u0421\u043e\u0437\u0434\u0430\u043d\u0438\u0435 \u0438\u043b\u0438 \u0438\u0437\u043c\u0435\u043d\u0435\u043d\u0438\u0435 \u0441\u0438\u0441\u0442\u0435\u043c\u043d\u043e\u0433\u043e \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u0430: \u0421\u043b\u0443\u0436\u0431\u0430 Windows<\/td><td>FamousSparrow \u0443\u0441\u0442\u0430\u043d\u0430\u0432\u043b\u0438\u0432\u0430\u0435\u0442 SparrowDoor \u043a\u0430\u043a \u0441\u043b\u0443\u0436\u0431\u0443 \u0441 \u0438\u043c\u0435\u043d\u0435\u043c WSearchIndex.<\/td><\/tr><tr><td><\/td><td><a href=\"https:\/\/attack.mitre.org\/versions\/v9\/techniques\/T1574\/001\" rel=\"noreferrer noopener\" target=\"_blank\">T1574.001<\/a><\/td><td>\u041f\u043e\u0442\u043e\u043a \u0432\u044b\u043f\u043e\u043b\u043d\u0435\u043d\u0438\u044f \u0432\u0437\u043b\u043e\u043c\u0430: \u043f\u0435\u0440\u0435\u0445\u0432\u0430\u0442 \u043f\u043e\u0440\u044f\u0434\u043a\u0430 \u043f\u043e\u0438\u0441\u043a\u0430 DLL<\/td><td>FamousSparrow \u0437\u0430\u0433\u0440\u0443\u0436\u0430\u0435\u0442 \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u044b\u0439 K7UI.dll \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e \u043f\u0435\u0440\u0435\u0445\u0432\u0430\u0442\u0430 \u043f\u043e\u0440\u044f\u0434\u043a\u0430 \u043f\u043e\u0438\u0441\u043a\u0430 DLL.<\/td><\/tr><tr><td>\u0423\u043a\u043b\u043e\u043d\u0435\u043d\u0438\u0435 \u043e\u0442 \u0437\u0430\u0449\u0438\u0442\u044b<\/td><td><a href=\"https:\/\/attack.mitre.org\/versions\/v9\/techniques\/T1055\/001\" rel=\"noreferrer noopener\" target=\"_blank\">T1055.001<\/a><\/td><td>\u0412\u043d\u0435\u0434\u0440\u0435\u043d\u0438\u0435 \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u0430: \u0432\u043d\u0435\u0434\u0440\u0435\u043d\u0438\u0435 \u0431\u0438\u0431\u043b\u0438\u043e\u0442\u0435\u043a\u0438 \u0441 \u0434\u0438\u043d\u0430\u043c\u0438\u0447\u0435\u0441\u043a\u043e\u0439 \u043a\u043e\u043c\u043f\u043e\u043d\u043e\u0432\u043a\u043e\u0439<\/td><td>MpSvc.dll (\u0448\u0435\u043b\u043b-\u043a\u043e\u0434) \u0432\u043d\u0435\u0434\u0440\u044f\u0435\u0442\u0441\u044f \u0432 \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u044b \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e SparrowDoor.<\/td><\/tr><tr><td><\/td><td><a href=\"https:\/\/attack.mitre.org\/versions\/v9\/techniques\/T1134\/002\" rel=\"noreferrer noopener\" target=\"_blank\">T1134.002<\/a><\/td><td>\u041c\u0430\u043d\u0438\u043f\u0443\u043b\u044f\u0446\u0438\u044f \u0442\u043e\u043a\u0435\u043d\u043e\u043c \u0434\u043e\u0441\u0442\u0443\u043f\u0430: \u0441\u043e\u0437\u0434\u0430\u043d\u0438\u0435 \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u0430 \u0441 \u0442\u043e\u043a\u0435\u043d\u043e\u043c<\/td><td>SparrowDoor \u0441\u043e\u0437\u0434\u0430\u0435\u0442 \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u044b \u0441 \u0442\u043e\u043a\u0435\u043d\u0430\u043c\u0438 \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u043e\u0432, \u0443\u043a\u0430\u0437\u0430\u043d\u043d\u044b\u0445 C&amp;C \u0441\u0435\u0440\u0432\u0435\u0440\u043e\u043c, \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u044f API CreateProcessAsUserA.<\/td><\/tr><tr><td><\/td><td><a href=\"https:\/\/attack.mitre.org\/versions\/v9\/techniques\/T1134\" rel=\"noreferrer noopener\" target=\"_blank\">T1134<\/a><\/td><td>\u041c\u0430\u043d\u0438\u043f\u0443\u043b\u044f\u0446\u0438\u0438 \u0441 \u0442\u043e\u043a\u0435\u043d\u0430\u043c\u0438 \u0434\u043e\u0441\u0442\u0443\u043f\u0430<\/td><td>SparrowDoor \u043f\u044b\u0442\u0430\u0435\u0442\u0441\u044f \u043d\u0430\u0441\u0442\u0440\u043e\u0438\u0442\u044c \u0441\u0432\u043e\u0438 \u0442\u043e\u043a\u0435\u043d-\u043f\u0440\u0438\u0432\u0438\u043b\u0435\u0433\u0438\u0438 \u0434\u043b\u044f \u043f\u043e\u043b\u0443\u0447\u0435\u043d\u0438\u044f SeDebugPrivilege.<\/td><\/tr><tr><td><\/td><td><a href=\"https:\/\/attack.mitre.org\/versions\/v9\/techniques\/T1027\" rel=\"noreferrer noopener\" target=\"_blank\">T1027<\/a><\/td><td>\u0417\u0430\u043f\u0443\u0442\u0430\u043d\u043d\u044b\u0435 \u0444\u0430\u0439\u043b\u044b \u0438\u043b\u0438 \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u044f<\/td><td>\u0428\u0435\u043b\u043b-\u043a\u043e\u0434 MpSvc.dll \u0437\u0430\u0448\u0438\u0444\u0440\u043e\u0432\u0430\u043d \u0441 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u0438\u0435\u043c XOR \u0432\u043c\u0435\u0441\u0442\u0435 \u0441 \u043a\u043e\u043d\u0444\u0438\u0433\u0443\u0440\u0430\u0446\u0438\u0435\u0439, \u0432\u0441\u0442\u0440\u043e\u0435\u043d\u043d\u043e\u0439 \u0432 SparrowDoor.<\/td><\/tr><tr><td>\u0414\u043e\u0441\u0442\u0443\u043f \u043a \u0443\u0447\u0435\u0442\u043d\u044b\u043c \u0434\u0430\u043d\u043d\u044b\u043c<\/td><td><a href=\"https:\/\/attack.mitre.org\/versions\/v9\/techniques\/T1003\/\" rel=\"noreferrer noopener\" target=\"_blank\">T1003<\/a><\/td><td>\u0414\u0430\u043c\u043f \u0443\u0447\u0435\u0442\u043d\u044b\u0445 \u0434\u0430\u043d\u043d\u044b\u0445 \u041e\u0421<\/td><td>FamousSparrow \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442 \u0441\u043f\u0435\u0446\u0438\u0430\u043b\u044c\u043d\u0443\u044e \u0432\u0435\u0440\u0441\u0438\u044e Mimikatz.<\/td><\/tr><tr><td>\u041e\u0431\u043d\u0430\u0440\u0443\u0436\u0435\u043d\u0438\u0435<\/td><td><a href=\"https:\/\/attack.mitre.org\/versions\/v9\/techniques\/T1082\" rel=\"noreferrer noopener\" target=\"_blank\">T1082<\/a><\/td><td>\u041e\u0431\u043d\u0430\u0440\u0443\u0436\u0435\u043d\u0438\u0435 \u0441\u0438\u0441\u0442\u0435\u043c\u043d\u043e\u0439 \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u0438<\/td><td>SparrowDoor \u0441\u043e\u0431\u0438\u0440\u0430\u0435\u0442 \u0438\u043c\u044f \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044f, \u0438\u043c\u044f \u043a\u043e\u043c\u043f\u044c\u044e\u0442\u0435\u0440\u0430, \u0438\u0434\u0435\u043d\u0442\u0438\u0444\u0438\u043a\u0430\u0442\u043e\u0440 \u0441\u0435\u0430\u043d\u0441\u0430 RDP \u0438 \u0442\u0438\u043f\u044b \u0434\u0438\u0441\u043a\u043e\u0432 \u0432 \u0441\u0438\u0441\u0442\u0435\u043c\u0435 \u0438 \u043e\u0442\u043f\u0440\u0430\u0432\u043b\u044f\u0435\u0442 \u044d\u0442\u0438 \u0434\u0430\u043d\u043d\u044b\u0435 \u043d\u0430 C&amp;C \u0441\u0435\u0440\u0432\u0435\u0440.<\/td><\/tr><tr><td><\/td><td><a href=\"https:\/\/attack.mitre.org\/versions\/v9\/techniques\/T1083\" rel=\"noreferrer noopener\" target=\"_blank\">T1083<\/a><\/td><td>\u041e\u0431\u043d\u0430\u0440\u0443\u0436\u0435\u043d\u0438\u0435 \u0444\u0430\u0439\u043b\u043e\u0432 \u0438 \u043a\u0430\u0442\u0430\u043b\u043e\u0433\u043e\u0432<\/td><td>SparrowDoor \u043c\u043e\u0436\u0435\u0442 \u0438\u0441\u0441\u043b\u0435\u0434\u043e\u0432\u0430\u0442\u044c \u0444\u0430\u0439\u043b\u044b \u0432 \u0443\u043a\u0430\u0437\u0430\u043d\u043d\u043e\u043c \u043a\u0430\u0442\u0430\u043b\u043e\u0433\u0435, \u043f\u043e\u043b\u0443\u0447\u0430\u044f \u0438\u0445 \u0438\u043c\u0435\u043d\u0430, \u0430\u0442\u0440\u0438\u0431\u0443\u0442\u044b, \u0440\u0430\u0437\u043c\u0435\u0440\u044b \u0438 \u0432\u0440\u0435\u043c\u044f \u043f\u043e\u0441\u043b\u0435\u0434\u043d\u0435\u0433\u043e \u0438\u0437\u043c\u0435\u043d\u0435\u043d\u0438\u044f, \u0438 \u043e\u0442\u043f\u0440\u0430\u0432\u043b\u044f\u0435\u0442 \u044d\u0442\u0438 \u0434\u0430\u043d\u043d\u044b\u0435 \u043d\u0430 C&amp;C \u0441\u0435\u0440\u0432\u0435\u0440.<\/td><\/tr><tr><td>\u0421\u0431\u043e\u0440<\/td><td><a href=\"https:\/\/attack.mitre.org\/versions\/v9\/techniques\/T1005\" rel=\"noreferrer noopener\" target=\"_blank\">T1005<\/a><\/td><td>\u0414\u0430\u043d\u043d\u044b\u0435 \u0438\u0437 \u043b\u043e\u043a\u0430\u043b\u044c\u043d\u043e\u0439 \u0441\u0438\u0441\u0442\u0435\u043c\u044b<\/td><td>SparrowDoor \u0438\u043c\u0435\u0435\u0442 \u0432\u043e\u0437\u043c\u043e\u0436\u043d\u043e\u0441\u0442\u044c \u0447\u0438\u0442\u0430\u0442\u044c \u0441\u043e\u0434\u0435\u0440\u0436\u0438\u043c\u043e\u0435 \u0444\u0430\u0439\u043b\u043e\u0432 \u0438 \u043f\u0435\u0440\u0435\u0434\u0430\u0432\u0430\u0442\u044c e\u0433\u043e \u043d\u0430 C&amp;C \u0441\u0435\u0440\u0432\u0435\u0440.<\/td><\/tr><tr><td>\u0423\u043f\u0440\u0430\u0432\u043b\u0435\u043d\u0438\u0435 \u0438 \u043a\u043e\u043d\u0442\u0440\u043e\u043b\u044c<\/td><td><a href=\"https:\/\/attack.mitre.org\/versions\/v9\/techniques\/T1071\/001\" rel=\"noreferrer noopener\" target=\"_blank\">T1071.001<\/a><\/td><td>\u041f\u0440\u043e\u0442\u043e\u043a\u043e\u043b \u043f\u0440\u0438\u043a\u043b\u0430\u0434\u043d\u043e\u0433\u043e \u0443\u0440\u043e\u0432\u043d\u044f: \u0432\u0435\u0431-\u043f\u0440\u043e\u0442\u043e\u043a\u043e\u043b\u044b<\/td><td>SparrowDoor \u0441\u0432\u044f\u0437\u044b\u0432\u0430\u0435\u0442\u0441\u044f \u0441 C&amp;C \u0441\u0435\u0440\u0432\u0435\u0440\u043e\u043c \u043f\u043e \u043f\u0440\u043e\u0442\u043e\u043a\u043e\u043b\u0443 HTTPS.<\/td><\/tr><tr><td><\/td><td><a href=\"https:\/\/attack.mitre.org\/versions\/v9\/techniques\/T1573\/001\" rel=\"noreferrer noopener\" target=\"_blank\">T1573.001<\/a><\/td><td>\u0417\u0430\u0448\u0438\u0444\u0440\u043e\u0432\u0430\u043d\u043d\u044b\u0439 \u043a\u0430\u043d\u0430\u043b: \u0441\u0438\u043c\u043c\u0435\u0442\u0440\u0438\u0447\u043d\u0430\u044f \u043a\u0440\u0438\u043f\u0442\u043e\u0433\u0440\u0430\u0444\u0438\u044f<\/td><td>SparrowDoor \u0448\u0438\u0444\u0440\u0443\u0435\u0442\/\u0434\u0435\u0448\u0438\u0444\u0440\u0443\u0435\u0442 \u043e\u0431\u043c\u0435\u043d \u0434\u0430\u043d\u043d\u044b\u043c\u0438 \u0441\u043e \u0441\u0432\u043e\u0438\u043c C&amp;C \u0441\u0435\u0440\u0432\u0435\u0440\u043e\u043c, \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u044f \u0440\u0430\u0437\u043b\u0438\u0447\u043d\u044b\u0435 \u043c\u043d\u043e\u0433\u043e\u0431\u0430\u0439\u0442\u043e\u0432\u044b\u0435 \u043a\u043b\u044e\u0447\u0438 XOR.<\/td><\/tr><tr><td>\u042d\u043a\u0441\u0444\u0438\u043b\u044c\u0442\u0440\u0430\u0446\u0438\u044f<\/td><td><a href=\"https:\/\/attack.mitre.org\/versions\/v9\/techniques\/T1041\" rel=\"noreferrer noopener\" target=\"_blank\">T1041<\/a><\/td><td>\u042d\u043a\u0441\u0444\u0438\u043b\u044c\u0442\u0440\u0430\u0446\u0438\u044f \u043f\u043e \u043a\u0430\u043d\u0430\u043b\u0443 C2<\/td><td>SparrowDoor \u044d\u043a\u0441\u0444\u0438\u043b\u044c\u0442\u0440\u0443\u0435\u0442 \u0434\u0430\u043d\u043d\u044b\u0435 \u043f\u043e \u0441\u0432\u043e\u0435\u043c\u0443 \u043a\u0430\u043d\u0430\u043b\u0443 C&amp;C.<\/td><\/tr><\/tbody><\/table><\/figure>\n","protected":false},"excerpt":{"rendered":"<p>\u0418\u0441\u0441\u043b\u0435\u0434\u043e\u0432\u0430\u0442\u0435\u043b\u0438 ESET \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0438\u043b\u0438 \u043d\u043e\u0432\u0443\u044e \u0433\u0440\u0443\u043f\u043f\u0443 \u043a\u0438\u0431\u0435\u0440\u0448\u043f\u0438\u043e\u043d\u0430\u0436\u0430, \u0438\u043c\u0435\u044e\u0449\u0443\u044e \u0441\u0432\u043e\u0435\u0439 \u0446\u0435\u043b\u044c\u044e \u043e\u0442\u0435\u043b\u0438, \u043f\u0440\u0430\u0432\u0438\u0442\u0435\u043b\u044c\u0441\u0442\u0432\u0430 \u0438 \u0447\u0430\u0441\u0442\u043d\u044b\u0435 \u043a\u043e\u043c\u043f\u0430\u043d\u0438\u0438 \u043f\u043e \u0432\u0441\u0435\u043c\u0443 \u043c\u0438\u0440\u0443. \u041c\u044b \u043d\u0430\u0437\u0432\u0430\u043b\u0438 \u0435\u0435 FamousSparrow \u0438 \u043f\u043e\u043b\u0430\u0433\u0430\u0435\u043c, \u0447\u0442\u043e \u043e\u043d\u0430 \u0432\u0435\u0434\u0435\u0442 \u0441\u0432\u043e\u044e \u0430\u043a\u0442\u0438\u0432\u043d\u043e\u0441\u0442\u044c \u043f\u043e \u043a\u0440\u0430\u0439\u043d\u0435\u0439 \u043c\u0435\u0440\u0435 \u0441 2019 \u0433\u043e\u0434\u0430. \u0418\u0437\u0443\u0447\u0430\u044f \u0434\u0430\u043d\u043d\u044b\u0435 \u0442\u0435\u043b\u0435\u043c\u0435\u0442\u0440\u0438\u0438 \u0432 \u0445\u043e\u0434\u0435 \u043d\u0430\u0448\u0435\u0433\u043e \u0440\u0430\u0441\u0441\u043b\u0435\u0434\u043e\u0432\u0430\u043d\u0438\u044f, \u043c\u044b \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0438\u043b\u0438, \u0447\u0442\u043e FamousSparrow \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043b \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u0438 Microsoft Exchange, \u0438\u0437\u0432\u0435\u0441\u0442\u043d\u044b\u0435 \u043a\u0430\u043a ProxyLogon, \u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u043c\u044b \u043f\u043e\u0434\u0440\u043e\u0431\u043d\u043e<\/p>\n","protected":false},"author":5,"featured_media":5903,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[207],"tags":[],"class_list":["post-5916","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-malware-ru"],"acf":[],"yoast_head":"<!-- This site is optimized with the Yoast SEO Premium plugin v26.2 (Yoast SEO v27.4) - https:\/\/yoast.com\/product\/yoast-seo-premium-wordpress\/ -->\n<title>FamousSparrow: \u043f\u043e\u0434\u043e\u0437\u0440\u0438\u0442\u0435\u043b\u044c\u043d\u044b\u0439 \u0433\u043e\u0441\u0442\u0438\u043d\u0438\u0447\u043d\u044b\u0439 \u0433\u043e\u0441\u0442\u044c - ESET Eesti Blogi<\/title>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/blog.eset.ee\/et\/ru\/2021\/10\/04\/famoussparrow-a-suspicious-hotel-guest\/\" \/>\n<meta property=\"og:locale\" content=\"ru_RU\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"FamousSparrow: \u043f\u043e\u0434\u043e\u0437\u0440\u0438\u0442\u0435\u043b\u044c\u043d\u044b\u0439 \u0433\u043e\u0441\u0442\u0438\u043d\u0438\u0447\u043d\u044b\u0439 \u0433\u043e\u0441\u0442\u044c\" \/>\n<meta property=\"og:description\" content=\"\u0418\u0441\u0441\u043b\u0435\u0434\u043e\u0432\u0430\u0442\u0435\u043b\u0438 ESET \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0438\u043b\u0438 \u043d\u043e\u0432\u0443\u044e \u0433\u0440\u0443\u043f\u043f\u0443 \u043a\u0438\u0431\u0435\u0440\u0448\u043f\u0438\u043e\u043d\u0430\u0436\u0430, \u0438\u043c\u0435\u044e\u0449\u0443\u044e \u0441\u0432\u043e\u0435\u0439 \u0446\u0435\u043b\u044c\u044e \u043e\u0442\u0435\u043b\u0438, \u043f\u0440\u0430\u0432\u0438\u0442\u0435\u043b\u044c\u0441\u0442\u0432\u0430 \u0438 \u0447\u0430\u0441\u0442\u043d\u044b\u0435 \u043a\u043e\u043c\u043f\u0430\u043d\u0438\u0438 \u043f\u043e \u0432\u0441\u0435\u043c\u0443 \u043c\u0438\u0440\u0443. \u041c\u044b \u043d\u0430\u0437\u0432\u0430\u043b\u0438 \u0435\u0435 FamousSparrow \u0438 \u043f\u043e\u043b\u0430\u0433\u0430\u0435\u043c, \u0447\u0442\u043e \u043e\u043d\u0430 \u0432\u0435\u0434\u0435\u0442 \u0441\u0432\u043e\u044e \u0430\u043a\u0442\u0438\u0432\u043d\u043e\u0441\u0442\u044c \u043f\u043e \u043a\u0440\u0430\u0439\u043d\u0435\u0439 \u043c\u0435\u0440\u0435 \u0441 2019 \u0433\u043e\u0434\u0430. \u0418\u0437\u0443\u0447\u0430\u044f \u0434\u0430\u043d\u043d\u044b\u0435 \u0442\u0435\u043b\u0435\u043c\u0435\u0442\u0440\u0438\u0438 \u0432 \u0445\u043e\u0434\u0435 \u043d\u0430\u0448\u0435\u0433\u043e \u0440\u0430\u0441\u0441\u043b\u0435\u0434\u043e\u0432\u0430\u043d\u0438\u044f, \u043c\u044b \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0438\u043b\u0438, \u0447\u0442\u043e FamousSparrow \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043b \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u0438 Microsoft Exchange, \u0438\u0437\u0432\u0435\u0441\u0442\u043d\u044b\u0435 \u043a\u0430\u043a ProxyLogon, \u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u043c\u044b \u043f\u043e\u0434\u0440\u043e\u0431\u043d\u043e\" \/>\n<meta property=\"og:url\" content=\"https:\/\/blog.eset.ee\/et\/ru\/2021\/10\/04\/famoussparrow-a-suspicious-hotel-guest\/\" \/>\n<meta property=\"og:site_name\" content=\"ESET Eesti Blogi\" \/>\n<meta property=\"article:publisher\" content=\"http:\/\/www.facebook.com\/antiviirus\" \/>\n<meta property=\"article:published_time\" content=\"2021-10-04T07:25:00+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2021-10-08T12:41:47+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/blog.eset.ee\/wp-content\/uploads\/2021\/10\/famoussparrow-apt-group-targeting-hotels.jpg\" \/>\n\t<meta property=\"og:image:width\" content=\"1920\" \/>\n\t<meta property=\"og:image:height\" content=\"1080\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/jpeg\" \/>\n<meta name=\"author\" content=\"ESET Blog\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<meta name=\"twitter:label1\" content=\"\u041d\u0430\u043f\u0438\u0441\u0430\u043d\u043e \u0430\u0432\u0442\u043e\u0440\u043e\u043c\" \/>\n\t<meta name=\"twitter:data1\" content=\"ESET Blog\" \/>\n\t<meta name=\"twitter:label2\" content=\"\u041f\u0440\u0438\u043c\u0435\u0440\u043d\u043e\u0435 \u0432\u0440\u0435\u043c\u044f \u0434\u043b\u044f \u0447\u0442\u0435\u043d\u0438\u044f\" \/>\n\t<meta name=\"twitter:data2\" content=\"11 \u043c\u0438\u043d\u0443\u0442\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\\\/\\\/schema.org\",\"@graph\":[{\"@type\":\"Article\",\"@id\":\"https:\\\/\\\/blog.eset.ee\\\/et\\\/ru\\\/2021\\\/10\\\/04\\\/famoussparrow-a-suspicious-hotel-guest\\\/#article\",\"isPartOf\":{\"@id\":\"https:\\\/\\\/blog.eset.ee\\\/et\\\/ru\\\/2021\\\/10\\\/04\\\/famoussparrow-a-suspicious-hotel-guest\\\/\"},\"author\":{\"name\":\"ESET Blog\",\"@id\":\"https:\\\/\\\/blog.eset.ee\\\/et\\\/ru\\\/#\\\/schema\\\/person\\\/876cf293277fc0b2ae2f4395fffe4c88\"},\"headline\":\"FamousSparrow: \u043f\u043e\u0434\u043e\u0437\u0440\u0438\u0442\u0435\u043b\u044c\u043d\u044b\u0439 \u0433\u043e\u0441\u0442\u0438\u043d\u0438\u0447\u043d\u044b\u0439 \u0433\u043e\u0441\u0442\u044c\",\"datePublished\":\"2021-10-04T07:25:00+00:00\",\"dateModified\":\"2021-10-08T12:41:47+00:00\",\"mainEntityOfPage\":{\"@id\":\"https:\\\/\\\/blog.eset.ee\\\/et\\\/ru\\\/2021\\\/10\\\/04\\\/famoussparrow-a-suspicious-hotel-guest\\\/\"},\"wordCount\":2347,\"image\":{\"@id\":\"https:\\\/\\\/blog.eset.ee\\\/et\\\/ru\\\/2021\\\/10\\\/04\\\/famoussparrow-a-suspicious-hotel-guest\\\/#primaryimage\"},\"thumbnailUrl\":\"https:\\\/\\\/blog.eset.ee\\\/wp-content\\\/uploads\\\/2021\\\/10\\\/famoussparrow-apt-group-targeting-hotels.jpg\",\"articleSection\":[\"\u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u044b\u0435 \u043f\u0440\u043e\u0433\u0440\u0430\u043c\u043c\u044b\"],\"inLanguage\":\"ru-RU\",\"copyrightYear\":\"2021\",\"copyrightHolder\":{\"@id\":\"https:\\\/\\\/blog.eset.ee\\\/et\\\/#organization\"}},{\"@type\":\"WebPage\",\"@id\":\"https:\\\/\\\/blog.eset.ee\\\/et\\\/ru\\\/2021\\\/10\\\/04\\\/famoussparrow-a-suspicious-hotel-guest\\\/\",\"url\":\"https:\\\/\\\/blog.eset.ee\\\/et\\\/ru\\\/2021\\\/10\\\/04\\\/famoussparrow-a-suspicious-hotel-guest\\\/\",\"name\":\"FamousSparrow: \u043f\u043e\u0434\u043e\u0437\u0440\u0438\u0442\u0435\u043b\u044c\u043d\u044b\u0439 \u0433\u043e\u0441\u0442\u0438\u043d\u0438\u0447\u043d\u044b\u0439 \u0433\u043e\u0441\u0442\u044c - ESET Eesti Blogi\",\"isPartOf\":{\"@id\":\"https:\\\/\\\/blog.eset.ee\\\/et\\\/ru\\\/#website\"},\"primaryImageOfPage\":{\"@id\":\"https:\\\/\\\/blog.eset.ee\\\/et\\\/ru\\\/2021\\\/10\\\/04\\\/famoussparrow-a-suspicious-hotel-guest\\\/#primaryimage\"},\"image\":{\"@id\":\"https:\\\/\\\/blog.eset.ee\\\/et\\\/ru\\\/2021\\\/10\\\/04\\\/famoussparrow-a-suspicious-hotel-guest\\\/#primaryimage\"},\"thumbnailUrl\":\"https:\\\/\\\/blog.eset.ee\\\/wp-content\\\/uploads\\\/2021\\\/10\\\/famoussparrow-apt-group-targeting-hotels.jpg\",\"datePublished\":\"2021-10-04T07:25:00+00:00\",\"dateModified\":\"2021-10-08T12:41:47+00:00\",\"author\":{\"@id\":\"https:\\\/\\\/blog.eset.ee\\\/et\\\/ru\\\/#\\\/schema\\\/person\\\/876cf293277fc0b2ae2f4395fffe4c88\"},\"breadcrumb\":{\"@id\":\"https:\\\/\\\/blog.eset.ee\\\/et\\\/ru\\\/2021\\\/10\\\/04\\\/famoussparrow-a-suspicious-hotel-guest\\\/#breadcrumb\"},\"inLanguage\":\"ru-RU\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\\\/\\\/blog.eset.ee\\\/et\\\/ru\\\/2021\\\/10\\\/04\\\/famoussparrow-a-suspicious-hotel-guest\\\/\"]}]},{\"@type\":\"ImageObject\",\"inLanguage\":\"ru-RU\",\"@id\":\"https:\\\/\\\/blog.eset.ee\\\/et\\\/ru\\\/2021\\\/10\\\/04\\\/famoussparrow-a-suspicious-hotel-guest\\\/#primaryimage\",\"url\":\"https:\\\/\\\/blog.eset.ee\\\/wp-content\\\/uploads\\\/2021\\\/10\\\/famoussparrow-apt-group-targeting-hotels.jpg\",\"contentUrl\":\"https:\\\/\\\/blog.eset.ee\\\/wp-content\\\/uploads\\\/2021\\\/10\\\/famoussparrow-apt-group-targeting-hotels.jpg\",\"width\":1920,\"height\":1080},{\"@type\":\"BreadcrumbList\",\"@id\":\"https:\\\/\\\/blog.eset.ee\\\/et\\\/ru\\\/2021\\\/10\\\/04\\\/famoussparrow-a-suspicious-hotel-guest\\\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Home\",\"item\":\"https:\\\/\\\/blog.eset.ee\\\/et\\\/ru\\\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"FamousSparrow: \u043f\u043e\u0434\u043e\u0437\u0440\u0438\u0442\u0435\u043b\u044c\u043d\u044b\u0439 \u0433\u043e\u0441\u0442\u0438\u043d\u0438\u0447\u043d\u044b\u0439 \u0433\u043e\u0441\u0442\u044c\"}]},{\"@type\":\"WebSite\",\"@id\":\"https:\\\/\\\/blog.eset.ee\\\/et\\\/ru\\\/#website\",\"url\":\"https:\\\/\\\/blog.eset.ee\\\/et\\\/ru\\\/\",\"name\":\"ESET Eesti Blogi\",\"description\":\"Uudised IT maailmast\",\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"https:\\\/\\\/blog.eset.ee\\\/et\\\/ru\\\/?s={search_term_string}\"},\"query-input\":{\"@type\":\"PropertyValueSpecification\",\"valueRequired\":true,\"valueName\":\"search_term_string\"}}],\"inLanguage\":\"ru-RU\"},{\"@type\":\"Person\",\"@id\":\"https:\\\/\\\/blog.eset.ee\\\/et\\\/ru\\\/#\\\/schema\\\/person\\\/876cf293277fc0b2ae2f4395fffe4c88\",\"name\":\"ESET Blog\",\"sameAs\":[\"http:\\\/\\\/eset.ee\"],\"url\":\"https:\\\/\\\/blog.eset.ee\\\/et\\\/ru\\\/author\\\/allankinsigo\\\/\"},{\"@type\":\"ImageObject\",\"inLanguage\":\"ru-RU\",\"@id\":\"https:\\\/\\\/blog.eset.ee\\\/et\\\/ru\\\/2021\\\/10\\\/04\\\/famoussparrow-a-suspicious-hotel-guest\\\/#local-main-organization-logo\",\"url\":\"\",\"contentUrl\":\"\",\"caption\":\"ESET EESTI\"}]}<\/script>\n<!-- \/ Yoast SEO Premium plugin. -->","yoast_head_json":{"title":"FamousSparrow: \u043f\u043e\u0434\u043e\u0437\u0440\u0438\u0442\u0435\u043b\u044c\u043d\u044b\u0439 \u0433\u043e\u0441\u0442\u0438\u043d\u0438\u0447\u043d\u044b\u0439 \u0433\u043e\u0441\u0442\u044c - ESET Eesti Blogi","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/blog.eset.ee\/et\/ru\/2021\/10\/04\/famoussparrow-a-suspicious-hotel-guest\/","og_locale":"ru_RU","og_type":"article","og_title":"FamousSparrow: \u043f\u043e\u0434\u043e\u0437\u0440\u0438\u0442\u0435\u043b\u044c\u043d\u044b\u0439 \u0433\u043e\u0441\u0442\u0438\u043d\u0438\u0447\u043d\u044b\u0439 \u0433\u043e\u0441\u0442\u044c","og_description":"\u0418\u0441\u0441\u043b\u0435\u0434\u043e\u0432\u0430\u0442\u0435\u043b\u0438 ESET \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0438\u043b\u0438 \u043d\u043e\u0432\u0443\u044e \u0433\u0440\u0443\u043f\u043f\u0443 \u043a\u0438\u0431\u0435\u0440\u0448\u043f\u0438\u043e\u043d\u0430\u0436\u0430, \u0438\u043c\u0435\u044e\u0449\u0443\u044e \u0441\u0432\u043e\u0435\u0439 \u0446\u0435\u043b\u044c\u044e \u043e\u0442\u0435\u043b\u0438, \u043f\u0440\u0430\u0432\u0438\u0442\u0435\u043b\u044c\u0441\u0442\u0432\u0430 \u0438 \u0447\u0430\u0441\u0442\u043d\u044b\u0435 \u043a\u043e\u043c\u043f\u0430\u043d\u0438\u0438 \u043f\u043e \u0432\u0441\u0435\u043c\u0443 \u043c\u0438\u0440\u0443. \u041c\u044b \u043d\u0430\u0437\u0432\u0430\u043b\u0438 \u0435\u0435 FamousSparrow \u0438 \u043f\u043e\u043b\u0430\u0433\u0430\u0435\u043c, \u0447\u0442\u043e \u043e\u043d\u0430 \u0432\u0435\u0434\u0435\u0442 \u0441\u0432\u043e\u044e \u0430\u043a\u0442\u0438\u0432\u043d\u043e\u0441\u0442\u044c \u043f\u043e \u043a\u0440\u0430\u0439\u043d\u0435\u0439 \u043c\u0435\u0440\u0435 \u0441 2019 \u0433\u043e\u0434\u0430. \u0418\u0437\u0443\u0447\u0430\u044f \u0434\u0430\u043d\u043d\u044b\u0435 \u0442\u0435\u043b\u0435\u043c\u0435\u0442\u0440\u0438\u0438 \u0432 \u0445\u043e\u0434\u0435 \u043d\u0430\u0448\u0435\u0433\u043e \u0440\u0430\u0441\u0441\u043b\u0435\u0434\u043e\u0432\u0430\u043d\u0438\u044f, \u043c\u044b \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0438\u043b\u0438, \u0447\u0442\u043e FamousSparrow \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043b \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u0438 Microsoft Exchange, \u0438\u0437\u0432\u0435\u0441\u0442\u043d\u044b\u0435 \u043a\u0430\u043a ProxyLogon, \u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u043c\u044b \u043f\u043e\u0434\u0440\u043e\u0431\u043d\u043e","og_url":"https:\/\/blog.eset.ee\/et\/ru\/2021\/10\/04\/famoussparrow-a-suspicious-hotel-guest\/","og_site_name":"ESET Eesti Blogi","article_publisher":"http:\/\/www.facebook.com\/antiviirus","article_published_time":"2021-10-04T07:25:00+00:00","article_modified_time":"2021-10-08T12:41:47+00:00","og_image":[{"width":1920,"height":1080,"url":"https:\/\/blog.eset.ee\/wp-content\/uploads\/2021\/10\/famoussparrow-apt-group-targeting-hotels.jpg","type":"image\/jpeg"}],"author":"ESET Blog","twitter_card":"summary_large_image","twitter_misc":{"\u041d\u0430\u043f\u0438\u0441\u0430\u043d\u043e \u0430\u0432\u0442\u043e\u0440\u043e\u043c":"ESET Blog","\u041f\u0440\u0438\u043c\u0435\u0440\u043d\u043e\u0435 \u0432\u0440\u0435\u043c\u044f \u0434\u043b\u044f \u0447\u0442\u0435\u043d\u0438\u044f":"11 \u043c\u0438\u043d\u0443\u0442"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/blog.eset.ee\/et\/ru\/2021\/10\/04\/famoussparrow-a-suspicious-hotel-guest\/#article","isPartOf":{"@id":"https:\/\/blog.eset.ee\/et\/ru\/2021\/10\/04\/famoussparrow-a-suspicious-hotel-guest\/"},"author":{"name":"ESET Blog","@id":"https:\/\/blog.eset.ee\/et\/ru\/#\/schema\/person\/876cf293277fc0b2ae2f4395fffe4c88"},"headline":"FamousSparrow: \u043f\u043e\u0434\u043e\u0437\u0440\u0438\u0442\u0435\u043b\u044c\u043d\u044b\u0439 \u0433\u043e\u0441\u0442\u0438\u043d\u0438\u0447\u043d\u044b\u0439 \u0433\u043e\u0441\u0442\u044c","datePublished":"2021-10-04T07:25:00+00:00","dateModified":"2021-10-08T12:41:47+00:00","mainEntityOfPage":{"@id":"https:\/\/blog.eset.ee\/et\/ru\/2021\/10\/04\/famoussparrow-a-suspicious-hotel-guest\/"},"wordCount":2347,"image":{"@id":"https:\/\/blog.eset.ee\/et\/ru\/2021\/10\/04\/famoussparrow-a-suspicious-hotel-guest\/#primaryimage"},"thumbnailUrl":"https:\/\/blog.eset.ee\/wp-content\/uploads\/2021\/10\/famoussparrow-apt-group-targeting-hotels.jpg","articleSection":["\u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u044b\u0435 \u043f\u0440\u043e\u0433\u0440\u0430\u043c\u043c\u044b"],"inLanguage":"ru-RU","copyrightYear":"2021","copyrightHolder":{"@id":"https:\/\/blog.eset.ee\/et\/#organization"}},{"@type":"WebPage","@id":"https:\/\/blog.eset.ee\/et\/ru\/2021\/10\/04\/famoussparrow-a-suspicious-hotel-guest\/","url":"https:\/\/blog.eset.ee\/et\/ru\/2021\/10\/04\/famoussparrow-a-suspicious-hotel-guest\/","name":"FamousSparrow: \u043f\u043e\u0434\u043e\u0437\u0440\u0438\u0442\u0435\u043b\u044c\u043d\u044b\u0439 \u0433\u043e\u0441\u0442\u0438\u043d\u0438\u0447\u043d\u044b\u0439 \u0433\u043e\u0441\u0442\u044c - ESET Eesti Blogi","isPartOf":{"@id":"https:\/\/blog.eset.ee\/et\/ru\/#website"},"primaryImageOfPage":{"@id":"https:\/\/blog.eset.ee\/et\/ru\/2021\/10\/04\/famoussparrow-a-suspicious-hotel-guest\/#primaryimage"},"image":{"@id":"https:\/\/blog.eset.ee\/et\/ru\/2021\/10\/04\/famoussparrow-a-suspicious-hotel-guest\/#primaryimage"},"thumbnailUrl":"https:\/\/blog.eset.ee\/wp-content\/uploads\/2021\/10\/famoussparrow-apt-group-targeting-hotels.jpg","datePublished":"2021-10-04T07:25:00+00:00","dateModified":"2021-10-08T12:41:47+00:00","author":{"@id":"https:\/\/blog.eset.ee\/et\/ru\/#\/schema\/person\/876cf293277fc0b2ae2f4395fffe4c88"},"breadcrumb":{"@id":"https:\/\/blog.eset.ee\/et\/ru\/2021\/10\/04\/famoussparrow-a-suspicious-hotel-guest\/#breadcrumb"},"inLanguage":"ru-RU","potentialAction":[{"@type":"ReadAction","target":["https:\/\/blog.eset.ee\/et\/ru\/2021\/10\/04\/famoussparrow-a-suspicious-hotel-guest\/"]}]},{"@type":"ImageObject","inLanguage":"ru-RU","@id":"https:\/\/blog.eset.ee\/et\/ru\/2021\/10\/04\/famoussparrow-a-suspicious-hotel-guest\/#primaryimage","url":"https:\/\/blog.eset.ee\/wp-content\/uploads\/2021\/10\/famoussparrow-apt-group-targeting-hotels.jpg","contentUrl":"https:\/\/blog.eset.ee\/wp-content\/uploads\/2021\/10\/famoussparrow-apt-group-targeting-hotels.jpg","width":1920,"height":1080},{"@type":"BreadcrumbList","@id":"https:\/\/blog.eset.ee\/et\/ru\/2021\/10\/04\/famoussparrow-a-suspicious-hotel-guest\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"https:\/\/blog.eset.ee\/et\/ru\/"},{"@type":"ListItem","position":2,"name":"FamousSparrow: \u043f\u043e\u0434\u043e\u0437\u0440\u0438\u0442\u0435\u043b\u044c\u043d\u044b\u0439 \u0433\u043e\u0441\u0442\u0438\u043d\u0438\u0447\u043d\u044b\u0439 \u0433\u043e\u0441\u0442\u044c"}]},{"@type":"WebSite","@id":"https:\/\/blog.eset.ee\/et\/ru\/#website","url":"https:\/\/blog.eset.ee\/et\/ru\/","name":"ESET Eesti Blogi","description":"Uudised IT maailmast","potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/blog.eset.ee\/et\/ru\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"ru-RU"},{"@type":"Person","@id":"https:\/\/blog.eset.ee\/et\/ru\/#\/schema\/person\/876cf293277fc0b2ae2f4395fffe4c88","name":"ESET Blog","sameAs":["http:\/\/eset.ee"],"url":"https:\/\/blog.eset.ee\/et\/ru\/author\/allankinsigo\/"},{"@type":"ImageObject","inLanguage":"ru-RU","@id":"https:\/\/blog.eset.ee\/et\/ru\/2021\/10\/04\/famoussparrow-a-suspicious-hotel-guest\/#local-main-organization-logo","url":"","contentUrl":"","caption":"ESET EESTI"}]}},"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/blog.eset.ee\/et\/ru\/wp-json\/wp\/v2\/posts\/5916","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blog.eset.ee\/et\/ru\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.eset.ee\/et\/ru\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.eset.ee\/et\/ru\/wp-json\/wp\/v2\/users\/5"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.eset.ee\/et\/ru\/wp-json\/wp\/v2\/comments?post=5916"}],"version-history":[{"count":0,"href":"https:\/\/blog.eset.ee\/et\/ru\/wp-json\/wp\/v2\/posts\/5916\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/blog.eset.ee\/et\/ru\/wp-json\/wp\/v2\/media\/5903"}],"wp:attachment":[{"href":"https:\/\/blog.eset.ee\/et\/ru\/wp-json\/wp\/v2\/media?parent=5916"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.eset.ee\/et\/ru\/wp-json\/wp\/v2\/categories?post=5916"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.eset.ee\/et\/ru\/wp-json\/wp\/v2\/tags?post=5916"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}